2.6. SSL 証明書を使用した Capsule Server の設定
Red Hat Satellite は SSL 証明書を使用して、Satellite Server、外部 Capsule Server、全ホストの間の暗号化通信を有効にします。組織の要件によっては、デフォルトの証明書またはカスタムの証明書で Capsule Server を設定する必要があります。
- また、デフォルトの SSL 証明書を使用する場合には、外部 Capsule Server ごとに異なるデフォルトの SSL 証明書を設定する必要があります。詳細は、「デフォルトの SSL 証明書を使用した Capsule Server の設定」 を参照してください。
- また、カスタムの SSL 証明書を使用する場合には、外部 Capsule Server ごとに異なるカスタムの SSL 証明書を使用して設定する必要があります。詳細は、「カスタム SSL 証明書を使用した Capsule Server の設定」 を参照してください。
2.6.1. デフォルトの SSL 証明書を使用した Capsule Server の設定
本セクションを使用して、Satellite Server のデフォルトの証明局 (CA) が署名した SSL 証明書を使用して Capsule Server を設定します。
前提条件
- Capsule Server が Satellite Server に登録されている。詳細は、Satellite Server への登録 を参照してください。
- Capsule Server パッケージがインストールされている。詳細は、Capsule Server パッケージのインストール を参照してください。
手順
Satellite Server で Capsule Server の全ソース証明書ファイルを保存するには、
rootユーザーのみがアクセスできるディレクトリーを作成します (例:/root/capsule_cert)。# mkdir /root/capsule_certSatellite Server で、Capsule Server の
/root/capsule_cert/capsule.example.com -certs.tar証明書アーカイブを生成します。# capsule-certs-generate \ --foreman-proxy-fqdn capsule.example.com \ --certs-tar /root/capsule_cert/capsule.example.com-certs.tar
capsule-certs-generateコマンドが返すsatellite-installerコマンドのコピーをメモし、Capsule Server に証明書をデプロイします。capsule-certs-generateの出力例output omitted satellite-installer --scenario capsule \ --certs-tar-file "/root/capsule_cert/capsule.example.com-certs.tar" \ --foreman-proxy-register-in-foreman "true" \ --foreman-proxy-foreman-base-url "https://satellite.example.com" \ --foreman-proxy-trusted-hosts "satellite.example.com" \ --foreman-proxy-trusted-hosts "capsule.example.com" \ --foreman-proxy-oauth-consumer-key "s97QxvUAgFNAQZNGg4F9zLq2biDsxM7f" \ --foreman-proxy-oauth-consumer-secret "6bpzAdMpRAfYaVZtaepYetomgBVQ6ehY" \ --puppet-server-foreman-url "https://satellite.example.com"
Satellite Server から、証明書アーカイブファイルを Capsule Server にコピーします。
# scp /root/capsule_cert/capsule.example.com-certs.tar \ root@capsule.example.com:/root/capsule.example.com-certs.tar
Capsule Server で、証明書をデプロイするには、
capsule-certs-generateコマンドにより返されたsatellite-installerコマンドを入力します。Satellite へのネットワーク接続やポートをまだ開いていない場合は、
--foreman-proxy-register-in-foremanオプションをfalseに設定すると、Capsule が Satellite へ接続を試行しなくなり、エラー報告がなくなります。ネットワークとファイアウォールを適切に設定したら、このオプションをtrueにして再度インストーラーを実行します。重要証明書のデプロイ後に、証明書のアーカイブファイルを削除しないでください。このアーカイブは、Capsule Server のアップグレード時などに必要になります。
2.6.2. カスタム SSL 証明書を使用した Capsule Server の設定
Satellite Server がカスタムの SSL 証明書を使用するように設定する場合は、この設定時に、外部の各 Capsule Server も、異なるカスタム SSL 証明書で設定する必要があります。
カスタム証明書を使用して Capsule Server を設定するには、Capsule Server ごとに以下の手順を実行します。
2.6.2.1. カスタムの SSL 証明書の Capsule Server へのデプロイ
この手順を使用して、証明局が署名したカスタムの SSL 証明書で、Capsule Server を設定します。capsule-certs-generate コマンドにより返される、satellite-installer コマンドは、Capsule Server ごとに一意となっています。複数の Capsule Server に同じコマンドを使用しないでください。
前提条件
- Satellite Server は、カスタムの証明書で設定されている。詳細は、オンラインネットワーク環境からの Satellite Server のインストール の カスタムの SSL 証明書での Satellite Server の設定 を参照してください。
- Capsule Server が Satellite Server に登録されている。詳細は、Satellite Server への登録 を参照してください。
- Capsule Server パッケージがインストールされている。詳細は、Capsule Server パッケージのインストール を参照してください。
手順
Satellite Server で、カスタムの SSL 証明書の入力ファイルを検証します。
# katello-certs-check \ -t capsule -c /root/capsule_cert/capsule_cert.pem \ 1 -k /root/capsule_cert/capsule_cert_key.pem \ 2 -b /root/capsule_cert/ca_cert_bundle.pem 3
/root/capsule_cert/openssl.cnf設定ファイルの証明書のコモンネームCN =に、*のワイルドカードの値を設定した場合には、katello-certs-checkコマンドに-t capsuleオプションを追加する必要があります。このコマンドに成功すると、
capsule-certs-generateコマンド 2 つが返されます。このうちのいずれか 1 つを、Capsule Server の証明書アーカイブの生成に使用する必要があります。katello-certs-checkの出力例Validation succeeded. To use them inside a NEW $CAPSULE, run this command: capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" \ --certs-tar "~/$CAPSULE-certs.tar" \ --server-cert "/root/capsule_cert/capsule_cert.pem" \ --server-key "/root/capsule_cert/capsule_cert_key.pem" \ --server-ca-cert "/root/capsule_cert/ca_cert_bundle.pem" \ To use them inside an EXISTING $CAPSULE, run this command INSTEAD: capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" \ --certs-tar "~/$CAPSULE-certs.tar" \ --server-cert "/root/capsule_cert/capsule_cert.pem" \ --server-key "/root/capsule_cert/capsule_cert_key.pem" \ --server-ca-cert "/root/capsule_cert/ca_cert_bundle.pem" \ --certs-update-serverSatellite Server で、
katello-certs-checkコマンドの出力をもとに、要件に合わせて、capsule-certs-generateコマンドを入力し、新規または既存の Capsule の証明書を生成します。このコマンドで
$CAPSULEを Capsule Server の FQDN に変更します。capsule-certs-generateコマンドが返すsatellite-installerコマンドのコピーをメモし、Capsule Server に証明書をデプロイします。capsule-certs-generateの出力例output omitted satellite-installer --scenario capsule \ --certs-tar-file "/root/capsule.example.com-certs.tar" \ --foreman-proxy-register-in-foreman "true" \ --foreman-proxy-foreman-base-url "https://satellite.example.com" \ --foreman-proxy-trusted-hosts "satellite.example.com" \ --foreman-proxy-trusted-hosts "capsule.example.com" \ --foreman-proxy-oauth-consumer-key "s97QxvUAgFNAQZNGg4F9zLq2biDsxM7f" \ --foreman-proxy-oauth-consumer-secret "6bpzAdMpRAfYaVZtaepYetomgBVQ6ehY" \ --puppet-server-foreman-url "https://satellite.example.com"
Satellite Server から、証明書アーカイブファイルを Capsule Server にコピーします。
# scp /root/capsule_cert/capsule.example.com-certs.tar \ root@capsule.example.com:/root/capsule.example.com-certs.tar
Capsule Server で、証明書をデプロイするには、
capsule-certs-generateコマンドにより返されたsatellite-installerコマンドを入力します。Satellite へのネットワーク接続やポートをまだ開いていない場合は、
--foreman-proxy-register-in-foremanオプションをfalseに設定すると、Capsule が Satellite へ接続を試行しなくなり、エラー報告がなくなります。ネットワークとファイアウォールを適切に設定したら、このオプションをtrueにして再度インストーラーを実行します。重要証明書のデプロイ後に、証明書のアーカイブファイルを削除しないでください。このアーカイブは、Capsule Server のアップグレード時などに必要になります。
2.6.2.2. ホストへの カスタム SSL 証明書のデプロイ
Capsule Server がカスタムの SSL 証明書を使用するよう設定した後に、Capsule Server に登録されている全ホストに katello-ca-consumer パッケージもインストールする必要があります。
手順
各ホストに
katello-ca-consumerパッケージをインストールします。# yum localinstall \ http://capsule.example.com/pub/katello-ca-consumer-latest.noarch.rpm