Red Hat Training
A Red Hat training course is available for Red Hat Satellite
3.2.2. RHN SSL Maintenance Tool-Optionen
Das RHN SSL Maintenance Tool bietet eine Unmenge an Befehlszeilenoptionen zur Generierung Ihres CA SSL-Schlüsselpaares und zur Verwaltung Ihrer Server SSL-Zertifikate und -Schlüssel an. Das Tool bietet grundsätzlich drei Befehlszeilenoptionen für zur Auflistung der Hilfe an:
rhn-ssl-tool --help
(allgemein), rhn-ssl-tool --gen-ca --help
(Certificate Authority) und rhn-ssl-tool --gen-server --help
(Webserver). Auch die Handbuchseite für 'rhn-ssl-tool' liefert eine detaillierte Beschreibung: man rhn-ssl-tool
.
Die beiden untenstehenden Tabellen unterteilen die Optionen nach Aufgaben, entweder CA oder Webserver SSL-Schlüssel-Set-Generierung.
Diesen Optionen muss der
--gen-ca
-Parameter vorangestellt werden:
Tabelle 3.1. SSL Certificate Authority (CA) Optionen (rhn-ssl-tool --gen-ca --help
)
Option | Beschreibung |
---|---|
--gen-ca | Generiert ein Certificate Authority (CA) Schlüsselpaar und ein öffentliches RPM. Diese Option muss in Zusammenhang mit irgendeiner der verbleibenden Optionen in dieser Tabelle benutzt werden. |
-h , --help | Zeigt den Hilfebildschirm mit einer Liste von Basisoptionen in Zusammenhang mit der CA-Generierung und -Verwaltung an. |
-f , --force | Erzwingt die Erzeugung eines neuen privaten Schlüssels Ihrer CA und/oder öffentlichen Zertifikats. |
-p= , --password=PASSWORD | Das CA-Passwort. Sie werden zur Eingabe des Passworts aufgefordert, wenn Sie dieses nicht von vornherein angeben. Bewahren Sie eine Kopie des Passworts an einem sicheren Ort auf. |
-d= , --dir=BUILD_DIRECTORY | Für die meisten Befehle erforderlich - Das Verzeichnis, in welches Zertifikate und RPM-Dateien beim Bauen gespeichert werden. Standard ist ./ssl-build . |
--ca-key=FILENAME | Der Dateiname des privaten Schlüssels Ihrer CA. Standard ist RHN-ORG-PRIVATE-SSL-KEY . |
--ca-cert=FILENAME | Der Dateiname des öffentlichen Zertifikats Ihrer CA. Standard ist RHN-ORG-TRUSTED-SSL-CERT . |
--cert-expiration=CA_CERT_EXPIRE | Die Gültigkeit des öffentlichen CA-Zertifikats. Standard ist das Ablaufen der Gültigkeit einen Tag vor dem Epochenwechsel (bzw. 18.01.2038). |
--set-country=COUNTRY_CODE | Der zweistellige Ländercode. Standard ist US. |
--set-state=STATE_OR_PROVINCE | Der Staat oder das Bundesland des CA-Zertifikats. Standard ist ''. |
--set-city=CITY_OR_LOCALITY | Die Stadt oder der Ort. Standard ist ''. |
--set-org=ORGANIZATION | Die Firma oder das Unternehmen, wie beispielsweise Red Hat. Standard ist Example Corp. Inc. |
--set-org-unit=SET_ORG_UNIT | Die Unternehmenseinheit, wie beispielsweise RHN. Standard ist ''. |
--set-common-name=HOSTNAME | Üblicherweise nicht für die CA gesetzt. - Der allgemeine Name. |
--set-email=EMAIL | Üblicherweise nicht für die CA gesetzt. - Die E-Mail-Adresse. |
--rpm-packager=PACKAGER | Die Person, die das generierte RPM paketiert hat, wie z.B. "RHN Admin (rhn-admin@example.com)." |
--rpm-vendor=VENDOR | Der Anbieter des generierten RPMs, wie z.B. "IS/IT Example Corp." |
-v , --verbose | Zeigt ausführliche Mitteilungen an. Akkumulierend - weitere hinzugefügte "v"s resultieren in noch umfangreicheren Details. |
--ca-cert-rpm=CA_CERT_RPM | Selten verändert - Name der RPM-Datei, die das CA Zertifikat beinhaltet (der Basis-Dateiname und nicht filename-version-release.noarch.rpm). |
--key-only | Selten verwendet - Generiert nur einen privaten CA-Schlüssel. Siehe --gen-ca --key-only --help für weitere Informationen. |
--cert-only | Selten verwendet - Generiert nur ein öffentliches CA-Zertifikat. Siehe --gen-ca --cert-only --help für weitere Informationen. |
--rpm-only | Selten verwendet - Generiert nur ein RPM zur Implementierung. Siehe --gen-ca --rpm-only --help für weitere Informationen. |
--no-rpm | Selten verwendet - Führt alle CA-Schritte aus, bis auf die RPM-Generierung. |
Den folgenden Optionen muss der
--gen-server
-Parameter vorangestellt werden:
Tabelle 3.2. SSL Web-Server-Optionen (rhn-ssl-tool --gen-server --help
)
Option | Beschreibung |
---|---|
--gen-server | Generiert SSL-Schlüssel-Set, RPM und Tar-Archiv des Webservers. Diese Option muss in Zusammenhang mit irgendeiner der verbleibenden Optionen in dieser Tabelle benutzt werden. |
-h , --help | Zeigt den Hilfebildschirm mit einer Liste von Basisoptionen in Zusammenhang mit der Generierung und Verwaltung eines Server-Schlüsselpaares an. |
-p= , --password=PASSWORD | Das CA-Passwort. Sie werden zur Eingabe des Passworts aufgefordert, wenn Sie dieses nicht von vornherein angeben. Bewahren Sie eine Kopie des Passworts an einem sicheren Ort auf. |
-d= , --dir=BUILD_DIRECTORY | Für die meisten Befehle erforderlich - Das Verzeichnis, in welches Zertifikate und RPM-Dateien beim Bauen gespeichert werden. Standard ist ./ssl-build . |
--server-key=FILENAME | Der Dateiname des privaten SSL-Schlüssels des Webservers. Standardmäßig ist dies server.key . |
--server-cert-req=FILENAME | Der Dateiname des SSL-Zertifikats des Webservers, das vom Client angefragt wird. Standardmäßig ist dies server.csr . |
--server-cert=FILENAME | Der Dateiname des SSL-Zertifikats des Webservers. Standardmäßig ist dies server.crt . |
--startdate=YYMMDDHHMMSSZ | Das Startdatum der Gültigkeit für das Server-Zertifikat im Beispielformat: Jahr, Monat, Datum, Stunde, Minute, Sekunde (zwei Zeichen pro Wert). Z ist erforderlich und steht für Zulu. Standardmäßig wird dieses Datum auf eine Woche vor Generierung gesetzt. |
--cert-expiration=SERVER_CERT_EXPIRE | Das Ablaufdatum des Server-Zertifikats. Standardmäßig ist dies ein Tag vor dem Epochenwechsel (oder 18.01.2038). |
--set-country=COUNTRY_CODE | Der zweistellige Ländercode. Standard ist US. |
--set-state=STATE_OR_PROVINCE | Der Staat oder die Provinz. Der Standardwert lautet North Carolina. |
--set-city=CITY_OR_LOCALITY | Die Stadt oder der Ort. Der Standardwert lautet Raleigh. |
--set-org=ORGANIZATION | Die Firma oder Organisation, wie z.B. Red Hat. Der Standardwert lautet 'Example Corp. Inc.' |
--set-org-unit=SET_ORG_UNIT | Die Unternehmenseinheit, wie beispielsweise RHN. Standardmäßig ist dies 'unit'. |
--set-hostname=HOSTNAME | Der Hostname des RHN Servers, der den Schlüssel erhält. Standardmäßig ist dies der dynamisch gesetzte Hostname des Build-Rechners. |
--set-email=EMAIL | Die E-Mail-Adresse für den Kontakt bezügl. des Zertifikats. Der Standardwert lautet 'admin@example.com'. |
--rpm-packager=PACKAGER | Die Person, die das generierte RPM paketiert hat, wie z.B. "RHN Admin (rhn-admin@example.com)." |
--rpm-vendor=VENDOR | Der Anbieter des generierten RPMs, wie z.B. "IS/IT Example Corp." |
-v , --verbose | Zeigt ausführliche Mitteilungen an. Akkumulierend - weitere hinzugefügte "v"s resultieren in noch umfangreicheren Details. |
--key-only | Selten verwendet - Generiert nur einen privaten Server-Schlüssel. Siehe --gen-server --key-only --help für weitere Informationen. |
--cert-req-only | Selten verwendet - Generiert nur eine Anfrage für ein Server-Zertifikat. Siehe --gen-server --cert-req-only --help für weitere Informationen. |
--cert-only | Selten verwendet - Generiert nur ein Server-Zertifikat. Siehe --gen-server --cert-only --help für weitere Informationen. |
--rpm-only | Selten verwendet - Generiert nur eine RPM-Datei zur Implementierung. Siehe --gen-server --rpm-only --help für weitere Informationen. |
--no-rpm | Selten verwendet - Führt alle Server-bezogenen Schritte mit Ausnahme der RPM-Generierung durch. |
--server-rpm=SERVER_RPM | Selten verändert - Name der RPM-Datei, die das SSL-Schlüssel-Set des Webservers beinhaltet (der Basis-Dateiname und nicht filename-version-release.noarch.rpm). |
--server-tar=SERVER_TAR | Selten verändert - Name des .tar Archivs, welches das Webserver SSL-Schlüssel-Set und das öffentliche CA-Zertifikat beinhaltet und ausschließlich von den Installationsroutinen des gehosteten RHN Proxy Servers verwendet wird (der Basis-Dateiname und nicht filename-version-release.tar). |