Red Hat Training

A Red Hat training course is available for Red Hat Satellite

3.2. Das RHN SSL Maintenance Tool

Red Hat Network bietet ein Befehlszeilen-Tool an, um Ihnen das Management Ihrer sicheren Infrastruktur zu erleichtern: das RHN SSL Maintenance Tool ist üblicherweise auch unter dem Befehlsnamen rhn-ssl-tool bekannt. Dieses Tool ist als Teil des rhns-certs-tools-Pakets erhältlich. Dieses Paket kann in den Software-Channels des neuesten RHN Proxy Server und RHN Satellite Server (sowie auch das RHN Satellite Server ISO) gefunden werden. Das RHN SSL Maintenance Tool ermöglicht es Ihnen, Ihr SSL-Schlüsselpaar Ihrer CA sowie auch Webserver SSL-Schlüssel-Sets (manchmal auch als Schlüsselpaare bezeichnet) zu generieren.
Es handelt sich hierbei um ein reines Build-Tool. Es generiert alle erforderlichen SSL-Schlüssel und Zertifikate. Die Dateien werden zu einem Paket im RPM-Format zur raschen Verteilung und Installation auf allen Client-Rechnern zusammengefasst. Jedoch werden diese vom Tool nicht zugeordnet. Dies wird dem Administrator überlassen oder via RHN Satellite Server automatisiert.

Anmerkung

rhns-certs-tools, welches rhn-ssl-tool beinhaltet, kann auf jedem aktuellen Red Hat Enterprise Linux System unter minimalen Voraussetzungen installiert und eingesetzt werden. Es ist für Administratoren von Vorteil, die deren SSL-Infrastruktur von deren Arbeitsplatzrechnern aus oder auch von anderen Systemen und nicht den RHN Servern aus verwalten möchten.
In diesen Fällen ist das Tool notwendig:
  • Wenn Sie Ihr öffentliches Zertifikat Ihrer CA aktualisieren - dies ist äußerst selten der Fall.
  • Wenn Sie einen RHN Proxy Server Version 3.6 oder höher installieren, der sich mit den zentralen RHN Servern verbindet - in diesem Fall kann der gehostete Service aus Sicherheitsgründen nicht als Repository für den SSL-Schlüssel Ihrer CA und für Ihr Zertifikat dienen.
  • Wenn Sie Ihre RHN-Infrastruktur neu konfigurieren, die zuvor kein SSL verwendet hat.
  • Wenn Sie RHN Proxy Server Versionen niedriger als 3.6 in Ihre Infrastruktur aufnehmen.
  • Wenn Sie mehrere RHN Satellite Server in Ihre RHN-Infrastruktur aufnehmen - konsultieren Sie in diesem Fall einen Red Hat-Sachverständigen.
In diesen Fällen ist das Tool nicht erforderlich:
  • Während der Installation eines RHN Satellite Server - alle SSL-Einstellungen werden während des Installationsvorgangs vorgenommen. Die SSL-Schlüssel und Zertifikate werden automatisch generiert und zugeordnet.
  • Während der Installation eines RHN Proxy Servers der Version 3.6 oder höher, wenn dieser mit einem RHN Satellite Server Version 3.6 oder höher als dessen Top-Level-Service verbunden ist - der RHN Satellite Server beinhaltet sämtliche SSL-Informationen, die dazu benötigt werden, die SSL-Schlüssel und Zertifikate des RHN Proxy Servers zu konfigurieren, zu generieren und zuzuordnen.
Beide Installationsvorgänge, der des RHN Satellite Servers und der des RHN Proxy Servers gewährleisten, dass das öffentliche SSL-Zertifikat der CA in jedem /pub-Verzeichnis eines jeden Servers abgelegt wird. Dieses öffentliche Zertifikat wird von den Client-Systemen dazu verwendet, sich mit den RHN Servern zu verbinden. Siehe Abschnitt 3.3, »Das öffentliche SSL-Zertifikat der CA auf Clients implementieren« für weitere Informationen.
Kurz gesagt, wenn Ihr Unternehmen die aktuellste Version des RHN Satellite Server als Top-Level-Service einsetzt, dann werden Sie höchstwahrscheinlich das Tool nicht benötigen. Ansonsten sollten Sie sich mit dessen Anwendung vertraut machen.

3.2.1. Erklärung zur SSL-Generierung

Der hauptsächliche Nutzen bei der Verwendung des RHN SSL Maintenance Tools liegt in der Sicherheit, Flexibilität und Portabilität. Sicherheit wird durch die Erstellung eindeutiger Webserver SSL-Schlüssel und Zertifikate für jeden RHN Server gewährleistet, wobei alle von einem einzigen SSL-Schlüsselpaar Ihrer CA signiert sind, das von Ihrem Unternehmen erstellt wurde. Flexibilität erhalten Sie durch die Fähigkeit des Tools auf jeder Maschine eingesetzt werden zu können, die das rhns-certs-tools-Paket installiert hat. Portabilität liegt in der Build-Struktur, die überall aufbewahrt und im weiteren Verlauf bei Bedarf installiert werden kann.
Wenn also in Ihrer Infrastruktur Ihr Top-Level RHN Server der aktuellste RHN Satellite Server ist, dann ist das Wiederherstellen Ihres ssl-build-Baumes von einem Archiv in das /root-Verzeichnis alles was Sie tun müssen. Machen Sie von den Konfigurations-Tools Gebrauch, die auf der Website des RHN Satellite Server zur Verfügung gestellt werden.
Sie verwenden das RHN SSL Maintenance Tool am besten, indem Sie die folgenden Aufgaben in ungefähr dieser Reihenfolge ausführen. Für die notwendigen Details verweisen wir auf die verbleibenden Abschnitte:
  1. Installieren Sie das rhns-certs-tools-Paket auf einem System in Ihrem Unternehmen. Dies kann, muss aber nicht der RHN Satellite Server oder RHN Proxy Server sein.
  2. Erzeugen Sie ein einzelnes SSL-Schlüsselpaar Ihrer CA für Ihr Unternehmen und installieren die daraus resultierende RPM-Datei oder das öffentliche Zertifikat auf allen Client-Systemen.
  3. Erzeugen Sie ein Webserver SSL-Schlüssel-Set für jeden der Proxy-Server und Satellite-Server und installieren die daraus resultierenden RPM-Dateien auf den Servern. Starten Sie anschließend den httpd-Dienst neu: 
     /sbin/service httpd restart
  4. Archivieren Sie den SSL-Build-Baum - bestehend aus dem primären Build-Verzeichnis und allen Unterverzeichnissen und Dateien - auf externen, transportablen Medien, wie z.B. einer Diskette. (Speicherplatzanforderungen sind vernachlässigbar.)
  5. Überprüfen Sie das Archiv und bewahren es an einem sicheren Ort auf, wie beispielsweise in den Abschnitten Zusätzliche Anforderungen des Proxy- oder auch Satellite-Installationshandbuchs beschrieben.
  6. Notieren Sie das CA-Passwort und bewahren Sie es für die zukünftige Verwendung auf.
  7. Löschen Sie den Build-Baum aus Sicherheitsgründen vom Build-System, aber nur wenn die gesamte RHN-Infrastruktur vorhanden und konfiguriert ist.
  8. Wenn Sie zusätzliche Webser SSL-Schlüssel-Sets benötigen, dann stellen Sie den Build-Baum auf einem System mit dem RHN SSL Maintenance Tool wieder her und wiederholen die Schritte 3 bis 7.