ПО «zVirt Max» и шифрованная связь
1. Замена сертификата Менеджера управления, выданного Центром сертификации
Не изменяйте разрешения и параметры владения для каталога /etc/pki и его подкаталогов. Разрешение для каталога /etc/pki и /etc/pki/ovirt-engine должно оставаться в значении по умолчанию: 755.
|
Вы можете настроить в своей организации сертификат, выданный альтернативным Центром сертификации, чтобы идентифицировать Менеджер управления для пользователей, подключающихся через HTTPS.
| Использование сертификата, выданного альтернативным Центром сертификации, для HTTPS-подключений не влияет на сертификат, используемый для аутентификации между Менеджером управления и хостами. Они будут продолжать использовать самоподписанный сертификат, созданный Менеджером управления. |
-
Сертификат, выданный альтернативным Центром сертификации. Это сертификат, который выдал Центр сертификации и который вы хотите использовать. Он предоставляется как файл PEM. Цепочка сертификатов должна быть полной вплоть до корневого сертификата. Порядок сертификатов в цепочке имеет решающее значение и должен быть от последнего промежуточного сертификата до корневого сертификата. В этой процедуре предполагается, что сертификат альтернативного Центра сертификации предоставляется в файле
/tmp/3rd-party-ca-cert.pem. -
Закрытый ключ, который вы хотите использовать для Apache httpd не должен иметь пароля. В этой процедуре предполагается, что он находится в файле
/tmp/apache.key. -
Этот сертификат выпущен Центром сертификации. В этой процедуре предполагается, что он находится в файле
/tmp/apache.cer.
Если вы получили закрытый ключ и сертификат от вашего Центра сертификации в файле P12, то для их извлечения используйте процедуру, описанную далее. Если файл в другом формате, свяжитесь с вашим Центром сертификации. После извлечения закрытого ключа и сертификата перейдите к замене сертификата Менеджера управления, выданного Центром Сертификации Apache.
Внутренний Центр сертификации хранит сгенерированный внутренними средствами ключ и сертификат в файле P12
/etc/pki/ovirt-engine/keys/apache.p12. Храните новый файл в том же месте. В следующей процедуре предполагается, что новый файл P12 находится в /tmp/apache.p12.
-
Сделайте резервную копию текущего файла apache.p12:
cp -p /etc/pki/ovirt-engine/keys/apache.p12 /etc/pki/ovirt-engine/keys/apache.p12.bck -
Замените текущий файл новым:
cp /tmp/apache.p12 /etc/pki/ovirt-engine/keys/apache.p12 -
Извлеките закрытый ключ и сертификат по соответствующим путям. Если файл защищен паролем, добавьте параметр
-passin pass:password, заменив password необходимым паролем.openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /tmp/apache.key openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /tmp/apache.cerДля новых установок ПО «zVirt Max» необходимо выполнить все шаги этой процедуры.
-
Если используется служба hosted engine, переведите среду в глобальный режим обслуживания.
hosted-engine --set-maintenance --mode=globalДополнительную информацию см. в Разделе 3.1.1. Обслуживание hosted engine.
-
Добавьте сертификат Центра сертификации в доверенное хранилище на уровне хоста:
cp /tmp/3rd-party-ca-cert.pem /etc/pki/ca-trust/source/anchors update-ca-trust -
Менеджер управления настроен на использование
/etc/pki/ovirt-engine/apache-ca.pem, который связан с помощью символьной ссылки с/etc/pki/ovirt-engine/ca.pem. Удалите символьную ссылку:rm /etc/pki/ovirt-engine/apache-ca.pem -
Сохраните сертификат Центра сертификации как
/etc/pki/ovirt-engine/apache-ca.pem:cp /tmp/3rd-party-ca-cert.pem /etc/pki/ovirt-engine/apache-ca.pem -
Сделайте резервную копию существующего закрытого ключа и сертификата:
cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.bck cp /etc/pki/ovirt-engine/certs/apache.cer etc/pki/ovirt-engine/certs/apache.cer.bck -
Скопируйте закрытый ключ по соответствующему пути.
cp /tmp/apache.key /etc/pki/ovirt-engine/keys/apache.key.nopass -
Установите владельца закрытого ключа в значение root, а разрешения – в значение
0640:chown root:ovirt /etc/pki/ovirt-engine/keys/apache.key.nopass chmod 640 /etc/pki/ovirt-engine/keys/apache.key.nopass -
Скопируйте сертификат по соответствующему пути:
cp /tmp/apache.cer /etc/pki/ovirt-engine/certs/apache.cer -
Установите владельца сертификата в значение root, а разрешения – в значение
0644:chown root:ovirt /etc/pki/ovirt-engine/certs/apache.cer chmod 644 /etc/pki/ovirt-engine/certs/apache.cer -
Перезапустите сервер Apache:
systemctl restart httpd.service -
Создайте новый файл конфигурации доверенного хранилища
/etc/ovirt-engine/engine.conf.d/99-custom-truststore.confсо следующими параметрами:ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts" ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD="" -
Скопируйте файл
/etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confи переименуйте его, изменив индекс на число больше 10 (например, 99-setup.conf). Добавьте в новый файл следующие параметры:SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass -
Перезапустите службу websocket-proxy:
systemctl restart ovirt-websocket-proxy.service -
Если файл
/etc/ovirt-provider-ovn/conf.d/10-setup-ovirt-provider-ovn.confбыл изменен вручную либо если используется файл конфигурации от более старой инсталляции, убедитесь, что Менеджер управления по-прежнему настроен на использование/etc/pki/ovirt-engine/apache-ca.pemкак источника сертификатов. -
Включите engine-backup, чтобы обновить систему путем создания нового файла
/etc/ovirt-engine-backup/engine-backup-config.d/update-system-wide-pki.shсо следующим содержимым:BACKUP_PATHS="${BACKUP_PATHS}/etc/ovirt-engine-backup" -
Скопируйте файл и обновите сертификат.
cp -f /etc/pki/ovirt-engine/apache-ca.pem /etc/pki/ca-trust/source/anchors/3rd-party-ca-cert.pem update-ca-trust -
Перезапустите службу ovirt-provider-ovn:
systemctl restart ovirt-provider-ovn.service -
Перезапустите службу ovirt-imageio:
systemctl restart ovirt-imageio.service -
Перезапустите службу ovirt-engine:
systemctl restart ovirt-engine.service -
Если используется hosted engine, выключите глобальный режим обслуживания.
hosted-engine --set-maintenance --mode=none
Теперь пользователи могут подключаться к Порталу администрирования и Пользовательскому порталу, не видя предупреждения о подлинности сертификата, используемого для шифрования HTTPS-трафика.
1.1. Настройка шифрованной связи между Менеджером управления и LDAP-сервером
Чтобы настроить шифрованную связь между Менеджером управления и LDAP-сервером, получите корневой сертификат LDAP-сервера, выданный Центром сертификации, скопируйте этот корневой сертификат в Менеджер управления и создайте сертификат, выданный Центром сертификации, в PEM-кодировке. Тип хранилища ключей может быть любым типом, поддерживаемым Java. В следующей процедуре используется формат Java KeyStore (JKS).
Дополнительные сведения о создании сертификата Центра сертификации в кодировке PEM и импорте сертификатов см. в разделе X.509 CERTIFICATE TRUST STORE файла README, размещенного в /usr/share/doc/ovirt-engine-extension-aaa-ldap-version.
|
-
В Менеджере управления скопируйте корневой сертификат LDAP-сервера, выданный Центром сертификации, в каталог /tmp и импортируйте корневой сертификат Центра сертификации с помощью keytool, чтобы создать сертификат Центра сертификации в кодировке PEM. Следующая команда импортирует корневой сертификат Центра сертификации в
/tmp/myrootca.pem. Выпишите местонахождение сертификата и пароль. Если вы используете интерактивный инструмент настройки, то это – вся информация, которая вам понадобится. Если вы настраиваете LDAP-сервер вручную, выполните оставшуюся часть процедуры, чтобы обновить файлы конфигурации.и создает корневой сертификат Центра сертификации в кодировке PEM `myrootca.jksв `/etc/ovirt-engine/aaa/$ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password -
Обновите файл /etc/ovirt-engine/aaa/profile1.properties, внеся в него сведения о сертификате:
${local:_basedir}– это каталог, где находится файл конфигурации свойств LDAP, указывающий на каталог/etc/ovirt-engine/aaa. Если вы создали сертификат Центра сертификации в кодировке PEM в другом каталоге, замените${local:_basedir}полным путем к сертификату.-
Чтобы использовать startTLS (рекомендуется):
# Create keystore, import certificate chain and uncomment pool.default.ssl.startTLS = true pool.default.ssl.truststore.file = ${local:_basedir}/_myrootca.jks_ pool.default.ssl.truststore.password = _password_ -
Чтобы использовать SSL:
# Create keystore, import certificate chain and uncomment pool.default.serverset.single.port = 636 pool.default.ssl.enable = true pool.default.ssl.truststore.file = ${local:_basedir}/_myrootca.jks_ pool.default.ssl.truststore.password = _password_
-
Чтобы продолжить настройку внешнего провайдера LDAP, см. раздел 3.3.3. Настройка внешнего провайдера LDAP. Чтобы продолжить настройку LDAP и Kerberos для единого входа, см. раздел 3.3.4. Настройка LDAP и Kerberos для единого входа.