Red Hat Training

A Red Hat training course is available for Red Hat Satellite

3.2. Uso de RHN SSL Maintenance Tool

Red Hat Network proporciona una herramienta de línea de comandos que facilita el manejo de su la infraestructura de seguridad: la RHN SSL Maintenance Tool comúnmente conocida por su comando rhn-ssl-tool. Esta herramienta está disponible como parte del paquete rhns-certs-tools. Este paquete puede encontrarse dentro de los canales de software para las últimas versiones del Servidor proxy de RHN y el Servidor satélite de RHN (también para el ISO del servidor satélite de RHN). La RHN SSL Maintenance Tool le permite generar su propio par de llaves CA SSL, así como el juego de llaves SSL del servidor web (algunas veces llamada par de llaves).
Esta herramienta es solamente una herramienta de construcción. Genera todas las llaves y certificados SSL que se requieren. También empaqueta los archivos en formato RPM para una rápida distribución e instalación de las máquinas cliente. Sin embargo, no las implementa. Esta tarea es asignada al administrador, o en muchas ocasiones, automatizada por el Servidor satélite de RHN.

Nota

El rhns-certs-tools, que contiene rhn-ssl-tool, puede ser instalado y ejecutado en cualquier sistema Red Hat Enterprise Linux con los mínimos requerimientos. Esto es conveniente para los administradores que deseen manejar su infraestructura SSL desde su estación de trabajo o cualquier otro sistema diferente al servidor RHN.
Estos son los casos en los que se requiere la herramienta:
  • Cuando se actualizan los certificados públicos CA - esto es raro.
  • Cuando se instala un Servidor proxy de RHN versión 3.6 o posterior que se conecta con los servidores centrales de RHN como su servicio de nivel superior - el servicio hospedado, por razones de seguridad, no puede ser un repositorio de su certificado y llave CA SSL, los cuales son privativos de su organización.
  • Cuando se reconfigura una infraestructura RHN para usar SSL donde no existía.
  • Cuando se añaden Sevidores proxy de RHN de una versión anterior a la 3.6 dentro de su infraestructura RHN.
  • Cuando se añade más de un RHN Satellite Server a una infraestructura RHN - consulte con su representante Red Hat para obtener instrucciones al respecto.
Estos son los casos en los que no se requiere la herramienta:
  • Durante la instalación de un Servidor satélite de RHN - todos los parámetros SSL son configurados durante el proceso de instalación. Las llaves y certificados SSL son construidos e implementados automáticamente.
  • Durante la instalación de un Servidor proxy RHN - versión 3.6 o superior conectado a un servidor satélite de RHN 3.6 o superior como su servidor de nivel superior - el servidor satélite de RHN contiene toda la información SSL necesaria para configurar, construir e implementar los certificados y llaves SSL del Servidor proxy de RHN.
El proceso de instalación del Servidor satélite de RHN y del Servidor proxy de RHN aseguran que el certificado público SSL se implemente en el directorio /pub de cada servidor. Este certificado público es usado por los sistemas cliente para conectarse al servidor RHN. Consulte la Sección 3.3, “Implementación del certificado público CA SSL a los clientes” para obtener mayor información.
En resumen, si la infraestructura RHN de su organización implementa la última versión del Servidor satélite de RHN como el servicio de nivel superior, usted no tendrá necesidad de usar la herramienta. De lo contrario, deberá familiarizarse con su uso.

3.2.1. Explicación de la generación de SSL

Seguridad, flexibilidad y portabilidad son los beneficios primarios del uso de la RHN SSL Maintenance Tool. La seguridad se consigue mediante la creación de certificados y llaves SSL del servidor web para cada servidor de RHN, todos firmados por un único par de llaves CA SSL creado por su organización. La flexibilidad se consigue gracias a la posibilidad de ejecutar la herramienta en cualquier máquina que tenga el paquete rhns-certs-tools instalado. La portabilidad nace en la existencia de una estructura construida que puede ser almacenada por seguridad en cualquier lugar y luego instalada cuando sea necesario.
Nuevamente, si su infraestructura RHN utiliza la última versión del RHN Satellite Server como servidor de nivel superior, lo único que usted tendrá que hacer es restaurar su árbol ssl-build desde un archivo al directorio /root y utilizar las herramientas de configuración provistas dentro del sitio web del Servidor satélite de RHN.
Para Utilizar la RHN SSL Maintenance Tool de la forma más adecuada, complete las siguientes tareas de nivel superior siguiendo aproximadamente el orden dado. Consulte las secciones restantes para obtener mayor información:
  1. Instale el paquete rhns-certs-tools en un sistema dentro de su organización; por ejemplo en un Servidor satélite de RHN o un Servidor proxy de RHN.
  2. Cree un par de llaves CA SSL para su organización e instale el RPM resultante o certificado público en todos los sistemas cliente.
  3. Cree un juego de llaves SSL de servidor web para cada uno de los Proxies y satélites que serán implementados e instale los RPM resultantes en los servidores de RHN; reinicie el servicio httpd después de esta acción: 
     /sbin/service httpd restart
  4. Archive el árbol de construcción SSL - conformado por el directorio de construcción primario y todos los subdirectorios y archivos - en un medio de almacenamiento, por ejemplo un disquete (los requerimientos de espacio de disco son insignificantes).
  5. Verifique y luego almacene este archivo en un lugar seguro, tal como el descrito en la sección sobre copias de seguridad en Requerimientos adicionales de la Guía de instalación de Proxy o satélite.
  6. Registre y asegure la contraseña CA para un uso futuro.
  7. Borrar el árbol de construcción del sistema donde fue construido por razones de seguridad, pero únicamente después de que la infraestructura RHN ha sido establecida y esté configurada.
  8. Cuando se necesiten llaves SSL de servidor web adicionales, restaure el árbol de construcción en el sistema ejecutando la RHN SSL Maintenance Tool y repita los pasos del 3 al 7.