zVirt и шифрованная связь
1. Замена сертификата Менеджера управления, выданного Центром сертификации
Не изменяйте разрешения и параметры владения для каталога /etc/pki и его подкаталогов. Разрешение для каталога /etc/pki и /etc/pki/ovirt-engine должно оставаться в значении по умолчанию: 755.
|
Вы можете настроить в своей организации сертификат, выданный альтернативным Центром сертификации, чтобы идентифицировать Менеджер управления для пользователей, подключающихся через HTTPS.
| Сертификат стороннего ЦС (Certificate Authority) предоставляется в виде PEM-файла. Цепочка сертификатов должна быть полной вплоть до корневого сертификата. Порядок цепочки сертификатов является критически важным, цепочка должна строится от последнего промежуточного ЦС до корневого ЦС. В противном случае при проверке подлинности сервера может произойти сбой. |
| Использование сертификата, выданного альтернативным Центром сертификации, для HTTPS-подключений не влияет на сертификат, используемый для аутентификации между Менеджером управления и хостами. Они будут продолжать использовать самоподписанный сертификат, созданный Менеджером управления. |
1.1. Соглашения
-
/root - расположение файлов полученных от ЦС или в процессе выполнения процедуры замены.
-
/root/apache.p12 - сертификат полученный от ЦС в формате PKCS#12.
Для версии zVirt 4.1 файл должен быть защищен паролем mypass. -
/root/ca.pem - сертификат ЦС.
-
/root/apache.key - новый закрытый ключ веб-сервера.
-
/root/apache.cer - новый сертификат веб-сервера.
|
1.2. Описание процедуры замены SSL-сертификата
Процедура замены SSL-сертификата зависит от версии zVirt.
См. инструкцию для zVirt версии 3.3 и выше.
2. Настройка шифрованной связи между Менеджером управления и LDAP-сервером
Чтобы настроить шифрованную связь между Менеджером управления и LDAP-сервером, получите корневой сертификат LDAP-сервера, выданный Центром сертификации, скопируйте этот корневой сертификат в Менеджер управления и создайте сертификат, выданный Центром сертификации, в PEM-кодировке. Тип хранилища ключей может быть любым типом, поддерживаемым Java. В следующей процедуре используется формат Java KeyStore (JKS).
| Дополнительные сведения о создании сертификата Центра сертификации в кодировке PEM и импорте сертификатов см. в разделе X.509 CERTIFICATE TRUST STORE файла README, размещенного в /usr/share/doc/ovirt-engine-extension-aaa-ldap-version. |
-
В Менеджере управления скопируйте корневой сертификат LDAP-сервера, выданный Центром сертификации, в каталог /tmp и импортируйте корневой сертификат Центра сертификации с помощью
keytool, чтобы создать сертификат Центра сертификации в кодировке PEM. Следующая команда импортирует корневой сертификат Центра сертификации в /tmp/myrootca.pem и создает корневой сертификат Центра сертификации в кодировке PEM myrootca.jks в /etc/ovirt-engine/aaa/. Выпишите местонахождение сертификата и пароль. Если вы используете интерактивный инструмент настройки, то это – вся информация, которая вам понадобится. Если вы настраиваете LDAP-сервер вручную, выполните оставшуюся часть процедуры, чтобы обновить файлы конфигурации.$ keytool \ -importcert \ -noprompt \ -trustcacerts \ -alias _myrootca_ \ -file _/tmp/myrootca.pem_ \ -keystore _/etc/ovirt-engine/aaa/myrootca.jks_ \ -storepass _password_ -
Обновите файл /etc/ovirt-engine/aaa/profile1.properties, внеся в него сведения о сертификате:
${local:_basedir}– это каталог, где находится файл конфигурации свойств LDAP, указывающий на каталог /etc/ovirt-engine/aaa. Если вы создали сертификат Центра сертификации в кодировке PEM в другом каталоге, замените${local:_basedir}полным путем к сертификату.-
Чтобы использовать startTLS (рекомендуется):
# Create keystore, import certificate chain and uncomment pool.default.ssl.startTLS = true pool.default.ssl.truststore.file = ${local:_basedir}/_myrootca.jks_ pool.default.ssl.truststore.password = _password_ -
Чтобы использовать SSL:
# Create keystore, import certificate chain and uncomment pool.default.serverset.single.port = 636 pool.default.ssl.enable = true pool.default.ssl.truststore.file = ${local:_basedir}/_myrootca.jks_ pool.default.ssl.truststore.password = _password_
-
Чтобы продолжить настройку внешнего провайдера LDAP, см. раздел Настройка внешнего провайдера LDAP. Чтобы продолжить настройку LDAP и Kerberos для единого входа, см. раздел Настройка LDAP и Kerberos для единого входа.