Red Hat Training

A Red Hat training course is available for Red Hat Satellite

3.2.3. Das CA SSL-Schlüsselpaar generieren

Bevor Sie das SSL-Schlüssel-Set erzeugen, das vom Webserver benötigt wird, müssen Sie ein CA SSL-Schlüsselpaar generieren. Ein öffentliches SSL-Zertifikat der CA wird auf die Client-Systeme des Satellite oder Proxy verteilt. Das RHN SSL Maintenance Tool ermöglicht es Ihnen im Bedarfsfall ein CA SSL Schlüsselpaar zu generieren und dieses für alle nachträglichen Einsätze von RHN Servern wiederzuverwenden.
Der Build-Prozess erzeugt automatisch das Schlüsselpaar und die öffentliche RPM für die Clients. Alle CA-Komponenten gelangen in das Build-Verzeichnis, welches in der Befehlszeile angegeben wird und normalerweise /root/ssl-build ist (oder /etc/sysconfig/rhn/ssl für ältere Satellites und Proxys). Um ein CA SSL-Schlüsselpaar zu generieren, führen Sie einen Befehl wie diesen aus:
rhn-ssl-tool --gen-ca --password=MY_CA_PASSWORD --dir="/root/ssl-build" \ 
--set-state="North	Carolina" --set-city="Raleigh" --set-org="Example Inc." \
--set-org-unit="SSL CA Unit"
Ersetzen Sie die Beispielwerte mit den jeweils für Ihr Unternehmen passenden Werten. Daraus resultieren folgende, relevante Dateien im festgelegten Build-Verzeichnis:
  • RHN-ORG-PRIVATE-SSL-KEY — der private SSL-Schlüssel der CA
  • RHN-ORG-TRUSTED-SSL-CERT — das öffentliche SSL-Zertifikat der CA
  • rhn-org-trusted-ssl-cert-VER-REL.noarch.rpm — die RPM-Datei, die zur Verteilung an die Client-Systeme bestimmt ist. Diese beinhaltet das öffentliche SSL-Zertifikat der CA und installiert es in: /usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT
  • rhn-ca-openssl.cnf — die SSL CA Konfigurationsdatei
  • latest.txt — listet immer die aktuellsten Versionen der relevanten Dateien auf.
Nach Abschluss können Sie das RPM auf Client-Systeme verteilen. Werfen Sie dazu einen Blick auf Abschnitt 3.3, »Das öffentliche SSL-Zertifikat der CA auf Clients implementieren«.