2.7.2.2. カスタムの SSL 証明書の Capsule Server へのデプロイ
この手順を使用して、証明局が署名したカスタムの SSL 証明書で、Capsule Server を設定します。capsule-certs-generate コマンドにより返される、satellite-installer コマンドは、Capsule Server ごとに一意となっています。複数の Capsule Server に同じコマンドを使用しないでください。
前提条件
カスタムのサーバー証明書で Capsule Server を設定する前に、Satellite と Capsule が以下の条件を満たすことを確認してください。
- Satellite Server は、カスタムの証明書で設定されている。詳細は、オンラインネットワークからの Satellite Server のインストールの カスタムの SSL 証明書を使用した Satellite Server の設定 を参照してください。
- Capsule Server が Satellite Server に登録されている。詳細は、「Satellite Server への登録」 を参照してください。
- Capsule Server パッケージがインストールされている。詳細は、「Capsule Server パッケージのインストール」 を参照してください。
手順
カスタムの SSL 証明書で Capsule Server を設定するには、以下の手順を実行します。
Satellite Server で、カスタムの SSL 証明書の入力ファイルを検証します。
# katello-certs-check \ -t capsule -c /root/capsule_cert/capsule_cert.pem \ 1 -k /root/capsule_cert/capsule_cert_key.pem \ 2 -b /root/capsule_cert/ca_cert_bundle.pem 3
/root/capsule_cert/openssl.cnf設定ファイルの証明書のコモンネームCN =に、*のワイルドカードの値を設定した場合には、katello-certs-checkコマンドに-t capsuleオプションを追加する必要があります。このコマンドに成功すると、
capsule-certs-generateコマンド 2 つが返されます。このうちのいずれか 1 つを、Capsule Server の証明書アーカイブの生成に使用する必要があります。katello-certs-checkの出力例Validation succeeded. To use them inside a NEW $CAPSULE, run this command: capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" \ --certs-tar "~/$CAPSULE-certs.tar" \ --server-cert "/root/capsule_cert/capsule_cert.pem" \ --server-key "/root/capsule_cert/capsule_cert_key.pem" \ --server-ca-cert "/root/capsule_cert/ca_cert_bundle.pem" \ To use them inside an EXISTING $CAPSULE, run this command INSTEAD: capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" \ --certs-tar "~/$CAPSULE-certs.tar" \ --server-cert "/root/capsule_cert/capsule_cert.pem" \ --server-key "/root/capsule_cert/capsule_cert_key.pem" \ --server-ca-cert "/root/capsule_cert/ca_cert_bundle.pem" \ --certs-update-serverSatellite Server で、
katello-certs-checkコマンドの出力をもとに、要件に合わせて、capsule-certs-generateコマンドを入力し、新規または既存の Capsule の証明書を生成します。このコマンドで
$CAPSULEを Capsule Server の FQDN に変更します。capsule-certs-generateコマンドが返すsatellite-installerコマンドのコピーをメモし、Capsule Server に証明書をデプロイします。capsule-certs-generateの出力例output omitted satellite-installer \ --scenario capsule \ --certs-tar-file "/root/capsule_certs.tar"\ --foreman-proxy-content-parent-fqdn "satellite.example.com"\ --foreman-proxy-register-in-foreman "true"\ --foreman-proxy-foreman-base-url "https://satellite.example.com"\ --foreman-proxy-trusted-hosts "satellite.example.com"\ --foreman-proxy-trusted-hosts "capsule.example.com"\ --foreman-proxy-oauth-consumer-key "s97QxvUAgFNAQZNGg4F9zLq2biDsxM7f"\ --foreman-proxy-oauth-consumer-secret "6bpzAdMpRAfYaVZtaepYetomgBVQ6ehY"\ --puppet-server-foreman-url "https://satellite.example.com"
Satellite Server から、証明書アーカイブファイルを Capsule Server にコピーします。
# scp /root/capsule_cert/capsule.example.com-certs.tar \ root@capsule.example.com:/root/capsule.example.com-certs.tar
Capsule Server で、証明書をデプロイするには、
capsule-certs-generateコマンドにより返されたsatellite-installerコマンドを入力します。Satellite へのネットワーク接続やポートをまだ開いていない場合は、
--foreman-proxy-register-in-foremanオプションをfalseに設定すると、Capsule が Satellite へ接続を試行しなくなり、エラー報告がなくなります。ネットワークとファイアウォールを適切に設定したら、このオプションをtrueにして再度インストーラーを実行します。重要証明書のデプロイ後に、証明書のアーカイブファイルを削除しないでください。このアーカイブは、Capsule Server のアップグレード時などに必要になります。