Red Hat Training
A Red Hat training course is available for Red Hat Satellite
3.2.3. Das CA SSL-Schlüsselpaar generieren
Bevor Sie das SSL-Schlüssel-Set erzeugen, das vom Webserver benötigt wird, müssen Sie ein CA SSL-Schlüsselpaar generieren. Ein öffentliches SSL-Zertifikat der CA wird auf die Client-Systeme des Satellite oder Proxy verteilt. Das RHN SSL Maintenance Tool ermöglicht es Ihnen im Bedarfsfall ein CA SSL Schlüsselpaar zu generieren und dieses für alle nachträglichen Einsätze von RHN Servern wiederzuverwenden.
Der Build-Prozess erzeugt automatisch das Schlüsselpaar und die öffentliche RPM für die Clients. Alle CA-Komponenten gelangen in das Build-Verzeichnis, welches in der Befehlszeile angegeben wird und normalerweise
/root/ssl-build
ist (oder /etc/sysconfig/rhn/ssl
für ältere Satellites und Proxys). Um ein CA SSL-Schlüsselpaar zu generieren, führen Sie einen Befehl wie diesen aus:
rhn-ssl-tool --gen-ca --password=MY_CA_PASSWORD --dir="/root/ssl-build" \ --set-state="North Carolina" --set-city="Raleigh" --set-org="Example Inc." \ --set-org-unit="SSL CA Unit"
Ersetzen Sie die Beispielwerte mit den jeweils für Ihr Unternehmen passenden Werten. Daraus resultieren folgende, relevante Dateien im festgelegten Build-Verzeichnis:
RHN-ORG-PRIVATE-SSL-KEY
— der private SSL-Schlüssel der CARHN-ORG-TRUSTED-SSL-CERT
— das öffentliche SSL-Zertifikat der CArhn-org-trusted-ssl-cert-VER-REL.noarch.rpm
— die RPM-Datei, die zur Verteilung an die Client-Systeme bestimmt ist. Diese beinhaltet das öffentliche SSL-Zertifikat der CA und installiert es in:/usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT
rhn-ca-openssl.cnf
— die SSL CA Konfigurationsdateilatest.txt
— listet immer die aktuellsten Versionen der relevanten Dateien auf.
Nach Abschluss können Sie das RPM auf Client-Systeme verteilen. Werfen Sie dazu einen Blick auf Abschnitt 3.3, »Das öffentliche SSL-Zertifikat der CA auf Clients implementieren«.