Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

22.3. OpenPegasus 用に SSL 証明書を設定する

OpenLMI は、HTTP トランスポート層で機能する WBEM (Web-Based Enterprise Management) プロトコルを使用します。標準の HTTP ベーシック認証がこのプロトコルで実行されます。つまり、ユーザー名とパスワードがリクエストと共に送信されることになります。

認証を保護するには、OpenPegasus CIMOM を設定して通信に HTTPS を使用することが必要になります。管理システム上で暗号化チャンネルを確立するには、SSL (Secure Sockets Layer) 証明書または TLS (Transport Layer Security) 証明書が必要になります。

システムで SSL/TLS 証明書を管理するには、2 つの方法があります。

  • 自己署名証明書では必要なインフラストラクチャーは少なくなりますが、クライアントへの導入および安全な管理はより難しくなります。
  • 認証局が署名する証明書は、設定さえ行えばクライアントへの導入が容易になりですが、必要な初期投資が大きくなる可能性があります。

認証局が署名する証明書を使用する場合は、クライアントシステムで信頼できる認証局を設定する必要があります。その後に、その権限を使用して、管理システムのすべての CIMOM 証明書を署名できるようになります。証明書は証明書チェーンの一部となることもあるため、管理システムの証明書の署名に使用された証明書が別の、より高い水準の認証局 (Verisign、CAcert、RSA など多数の認証局) により署名される場合もあります。

ファイルシステムにおけるデフォルトの証明書およびトラストストアの保存場所は 表22.2「証明書およびトラストストアの保存場所」 に記載されています。

表22.2 証明書およびトラストストアの保存場所

設定オプション場所詳細

sslCertificateFilePath

/etc/Pegasus/server.pem

CIMOM の公開証明書

sslKeyFilePath

/etc/Pegasus/file.pem

CIMOM にのみ知られている秘密鍵

sslTrustStore

/etc/Pegasus/client.pem

信頼できる証明書機関の一覧を提供するファイルまたはディレクトリー

重要

表22.2「証明書およびトラストストアの保存場所」 にあるファイルを修正した場合は、tog-pegasus サービスを再起動して新たな証明書が確実に認識されるようにします。サービスを再起動するには、root でシェルプロンプトに以下のコマンドを入力します。

systemctl restart tog-pegasus.service

Red Hat Enterprise Linux 7 でシステムサービスを管理する方法は、10章systemd によるサービス管理 を参照してください。

22.3.1. 自己署名証明書の管理

自己署名証明書は、自身の秘密鍵を使用して署名し、その他の信頼チェーンには接続されません。管理システムでは、tog-pegasus サービスを初めて起動する前に管理者が証明書を提供していない場合は、システムのプライマリーホスト名を証明書の件名にした自己署名証明書のセットが自動的に生成されます。

重要

自動生成された自己署名証明書は、デフォルトで 10 年間有効ですが、自動的に更新する機能はありません。このような証明書を修正するには、OpenSSL または Mozilla NSS のドキュメンテーションが提供するガイドラインに従って、新たな証明書を手動で作成する必要があります。

クライアントシステムが自己署名証明書を信頼するように設定するには、以下の手順に従います。

  1. 管理システムから、クライアントシステムの /etc/pki/ca-trust/source/anchors/ ディレクトリーに、/etc/Pegasus/server.pem 証明書をコピーします。これを行うには、root で次のコマンドを実行します。

    scp root@hostname:/etc/Pegasus/server.pem /etc/pki/ca-trust/source/anchors/pegasus-hostname.pem

    hostname を管理システムのホスト名に置き換えます。このコマンドは、sshd サービスが管理システム上で実行中に、root ユーザーが SSH プロトコルを使用してシステムにログインできるような設定でのみ機能することに注意してください。sshd サービスをインストールして設定し、scp コマンドを使用して SSH プロトコルでファイルを送信する方法は、12章OpenSSH を参照してください。

  2. チェックサムを元のファイルのものと比較して、クライアントシステムの証明書の整合性を検証します。管理システムの /etc/Pegasus/server.pem ファイルのチェックサムを計算するには、そのシステムで root として以下のコマンドを実行します。

    sha1sum /etc/Pegasus/server.pem

    クライアントシステムの /etc/pki/ca-trust/source/anchors/pegasus-hostname.pem ファイルのチェックサムを計算するには、このシステムで以下のコマンドを実行します。

    sha1sum /etc/pki/ca-trust/source/anchors/pegasus-hostname.pem

    hostname を管理システムのホスト名に置き換えます。

  3. クライアントシステムでトラストストアを更新するには、root で以下のコマンドを実行します。

    update-ca-trust extract