Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

ПО «zVirt Max» и шифрованная связь

1. Замена сертификата Менеджера управления, выданного Центром сертификации

Не изменяйте разрешения и параметры владения для каталога /etc/pki и его подкаталогов. Разрешение для каталога /etc/pki и /etc/pki/ovirt-engine должно оставаться в значении по умолчанию: 755.

Вы можете настроить в своей организации сертификат, выданный альтернативным Центром сертификации, чтобы идентифицировать Менеджер управления для пользователей, подключающихся через HTTPS.

Использование сертификата, выданного альтернативным Центром сертификации, для HTTPS-подключений не влияет на сертификат, используемый для аутентификации между Менеджером управления и хостами. Они будут продолжать использовать самоподписанный сертификат, созданный Менеджером управления.
Предварительные условия
  • Сертификат, выданный альтернативным Центром сертификации. Это сертификат, который выдал Центр сертификации и который вы хотите использовать. Он предоставляется как файл PEM. Цепочка сертификатов должна быть полной вплоть до корневого сертификата. Порядок сертификатов в цепочке имеет решающее значение и должен быть от последнего промежуточного сертификата до корневого сертификата. В этой процедуре предполагается, что сертификат альтернативного Центра сертификации предоставляется в файле /tmp/3rd-party-ca-cert.pem.

  • Закрытый ключ, который вы хотите использовать для Apache httpd не должен иметь пароля. В этой процедуре предполагается, что он находится в файле /tmp/apache.key.

  • Этот сертификат выпущен Центром сертификации. В этой процедуре предполагается, что он находится в файле /tmp/apache.cer.

Если вы получили закрытый ключ и сертификат от вашего Центра сертификации в файле P12, то для их извлечения используйте процедуру, описанную далее. Если файл в другом формате, свяжитесь с вашим Центром сертификации. После извлечения закрытого ключа и сертификата перейдите к замене сертификата Менеджера управления, выданного Центром Сертификации Apache.

Извлечение сертификата и закрытого ключа из пакета P12

Внутренний Центр сертификации хранит сгенерированный внутренними средствами ключ и сертификат в файле P12 /etc/pki/ovirt-engine/keys/apache.p12. Храните новый файл в том же месте. В следующей процедуре предполагается, что новый файл P12 находится в /tmp/apache.p12.

  1. Сделайте резервную копию текущего файла apache.p12:

    cp -p /etc/pki/ovirt-engine/keys/apache.p12  /etc/pki/ovirt-engine/keys/apache.p12.bck
  2. Замените текущий файл новым:

    cp /tmp/apache.p12 /etc/pki/ovirt-engine/keys/apache.p12
  3. Извлеките закрытый ключ и сертификат по соответствующим путям. Если файл защищен паролем, добавьте параметр -passin pass:password, заменив password необходимым паролем.

    openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /tmp/apache.key
    
    openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /tmp/apache.cer
    Для новых установок ПО «zVirt Max» необходимо выполнить все шаги этой процедуры.
Замена сертификата Менеджера управления, выданного Центром Сертификации Apache
  1. Если используется служба hosted engine, переведите среду в глобальный режим обслуживания.

    hosted-engine --set-maintenance --mode=global

    Дополнительную информацию см. в Разделе 3.1.1. Обслуживание hosted engine.

  2. Добавьте сертификат Центра сертификации в доверенное хранилище на уровне хоста:

    cp /tmp/3rd-party-ca-cert.pem /etc/pki/ca-trust/source/anchors
    
    update-ca-trust
  3. Менеджер управления настроен на использование /etc/pki/ovirt-engine/apache-ca.pem, который связан с помощью символьной ссылки с /etc/pki/ovirt-engine/ca.pem. Удалите символьную ссылку:

    rm /etc/pki/ovirt-engine/apache-ca.pem
  4. Сохраните сертификат Центра сертификации как /etc/pki/ovirt-engine/apache-ca.pem:

     cp /tmp/3rd-party-ca-cert.pem  /etc/pki/ovirt-engine/apache-ca.pem
  5. Сделайте резервную копию существующего закрытого ключа и сертификата:

    cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.bck
    
    cp /etc/pki/ovirt-engine/certs/apache.cer  etc/pki/ovirt-engine/certs/apache.cer.bck
  6. Скопируйте закрытый ключ по соответствующему пути.

    cp /tmp/apache.key /etc/pki/ovirt-engine/keys/apache.key.nopass
  7. Установите владельца закрытого ключа в значение root, а разрешения – в значение 0640:

    chown root:ovirt /etc/pki/ovirt-engine/keys/apache.key.nopass
    
    chmod 640 /etc/pki/ovirt-engine/keys/apache.key.nopass
  8. Скопируйте сертификат по соответствующему пути:

    cp /tmp/apache.cer /etc/pki/ovirt-engine/certs/apache.cer
  9. Установите владельца сертификата в значение root, а разрешения – в значение 0644:

    chown root:ovirt /etc/pki/ovirt-engine/certs/apache.cer
    
    chmod 644 /etc/pki/ovirt-engine/certs/apache.cer
  10. Перезапустите сервер Apache:

    systemctl restart httpd.service
  11. Создайте новый файл конфигурации доверенного хранилища /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf со следующими параметрами:

    ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
    ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
  12. Скопируйте файл /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf и переименуйте его, изменив индекс на число больше 10 (например, 99-setup.conf). Добавьте в новый файл следующие параметры:

    SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
    SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
  13. Перезапустите службу websocket-proxy:

    systemctl restart ovirt-websocket-proxy.service
  14. Если файл /etc/ovirt-provider-ovn/conf.d/10-setup-ovirt-provider-ovn.conf был изменен вручную либо если используется файл конфигурации от более старой инсталляции, убедитесь, что Менеджер управления по-прежнему настроен на использование /etc/pki/ovirt-engine/apache-ca.pem как источника сертификатов.

  15. Включите engine-backup, чтобы обновить систему путем создания нового файла /etc/ovirt-engine-backup/engine-backup-config.d/update-system-wide-pki.sh со следующим содержимым:

    BACKUP_PATHS="${BACKUP_PATHS}/etc/ovirt-engine-backup"
  16. Скопируйте файл и обновите сертификат.

    cp -f /etc/pki/ovirt-engine/apache-ca.pem /etc/pki/ca-trust/source/anchors/3rd-party-ca-cert.pem
    
    update-ca-trust
  17. Перезапустите службу ovirt-provider-ovn:

    systemctl restart ovirt-provider-ovn.service
  18. Перезапустите службу ovirt-imageio:

    systemctl restart ovirt-imageio.service
  19. Перезапустите службу ovirt-engine:

    systemctl restart ovirt-engine.service
  20. Если используется hosted engine, выключите глобальный режим обслуживания.

    hosted-engine --set-maintenance --mode=none

Теперь пользователи могут подключаться к Порталу администрирования и Пользовательскому порталу, не видя предупреждения о подлинности сертификата, используемого для шифрования HTTPS-трафика.

1.1. Настройка шифрованной связи между Менеджером управления и LDAP-сервером

Чтобы настроить шифрованную связь между Менеджером управления и LDAP-сервером, получите корневой сертификат LDAP-сервера, выданный Центром сертификации, скопируйте этот корневой сертификат в Менеджер управления и создайте сертификат, выданный Центром сертификации, в PEM-кодировке. Тип хранилища ключей может быть любым типом, поддерживаемым Java. В следующей процедуре используется формат Java KeyStore (JKS).

Дополнительные сведения о создании сертификата Центра сертификации в кодировке PEM и импорте сертификатов см. в разделе X.509 CERTIFICATE TRUST STORE файла README, размещенного в /usr/share/doc/ovirt-engine-extension-aaa-ldap-version.
Процедура
  1. В Менеджере управления скопируйте корневой сертификат LDAP-сервера, выданный Центром сертификации, в каталог /tmp и импортируйте корневой сертификат Центра сертификации с помощью keytool, чтобы создать сертификат Центра сертификации в кодировке PEM. Следующая команда импортирует корневой сертификат Центра сертификации в /tmp/myrootca.pem и создает корневой сертификат Центра сертификации в кодировке PEM `myrootca.jks в `/etc/ovirt-engine/aaa/. Выпишите местонахождение сертификата и пароль. Если вы используете интерактивный инструмент настройки, то это – вся информация, которая вам понадобится. Если вы настраиваете LDAP-сервер вручную, выполните оставшуюся часть процедуры, чтобы обновить файлы конфигурации.

    $ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
  2. Обновите файл /etc/ovirt-engine/aaa/profile1.properties, внеся в него сведения о сертификате:

    ${local:_basedir} – это каталог, где находится файл конфигурации свойств LDAP, указывающий на каталог /etc/ovirt-engine/aaa. Если вы создали сертификат Центра сертификации в кодировке PEM в другом каталоге, замените ${local:_basedir} полным путем к сертификату.
    • Чтобы использовать startTLS (рекомендуется):

      # Create keystore, import certificate chain and uncomment
      pool.default.ssl.startTLS = true
      pool.default.ssl.truststore.file = ${local:_basedir}/_myrootca.jks_
      pool.default.ssl.truststore.password = _password_
    • Чтобы использовать SSL:

      # Create keystore, import certificate chain and uncomment
      pool.default.serverset.single.port = 636
      pool.default.ssl.enable = true
      pool.default.ssl.truststore.file = ${local:_basedir}/_myrootca.jks_
      pool.default.ssl.truststore.password = _password_

Чтобы продолжить настройку внешнего провайдера LDAP, см. раздел 3.3.3. Настройка внешнего провайдера LDAP. Чтобы продолжить настройку LDAP и Kerberos для единого входа, см. раздел 3.3.4. Настройка LDAP и Kerberos для единого входа.