RHN クラシックからの移行

Red Hat Subscription Management 1

Red Hat Network クラシック (ホスト型) から最新のサブスクリプション管理への移行

Red Hat Subscription Management Documentation Team

January 11, 2016

概要

Red Hat Enterprise Linux 6.1/5.7 以降、サブスクリプションに関する新たな方法が導入されました。Red Hat サブスクリプション管理では、サブスクリプション、システム、その親組織、および全体の使用パターンの関係をより詳細で正確かつ明確な表現で提供します。本ガイドでは、レガシーの Red Hat Enterprise Linux システムから最新のサブスクリプションフレームワークへの移行方法を説明します。
システムへのサブスクリプション割り当ての維持は、インフラストラクチャーが変更、更新される際における管理の必須業務となります。サブスクリプションの維持は、実質的にはサブスクリプションの移行になります。
システムと変更内容によって、現在は以下の 2 つの移行方法があります。
  • システムは Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 へのアップグレードが可能です。Red Hat Enterprise Linux 6 と 7 の両方のシステムで使用するサブスクリプション管理サービスは同じタイプですが、プラットフォームによって利用可能なコンテンツリポジトリーと製品のサブスクリプションは異なります。つまり、基本的なシステムのアップグレードの一部として、サブスクリプションを適切に管理する必要があります。
  • Red Hat Enterprise Linux 5 と Red Hat Enterprise Linux 6 のシステムでは、チャンネルベースのサブスクリプションサービスから Red Hat サブスクリプション管理に移行できます。この場合、あるタイプのサービスから別のサービスにサブスクリプションを移動するため、実際にはサブスクリプションの移行となります。
システムのアップグレード

Red Hat Enterprise Linux 6 では Red Hat サブスクリプション管理の使用が可能で、Red Hat Enterprise Linux 7 システムでは Red Hat サブスクリプション管理を使用する 必要がある ことから、このような場合は同一サービスであるため、サブスクリプションサービスを移行する必要がありません。ただし、システムやインストール済み製品の移行は必ずしも同時に実行するわけではないため、Red Hat Enterprise Linux 6 システムをカバーするために必要なサブスクリプションは、そのアップグレード後に必要となるものとは異なる場合があります。このため、登録の更新、リポジトリーの設定、およびサブスクリプションの再度のアタッチにより、システムのサブスクリプションを管理する必要があります。

サブスクリプションサービスの移行

Red Hat サブスクリプション管理では、サブスクリプション、システム、その親組織、および全体の使用パターンの関係を詳細で正確かつ明確な表現で提供します。これは、システム、インストール済み製品、および割り当て済みのサブスクリプションといったサブスクリプション管理に関連する異なる要素を一意の証明書で識別することで実行されます。

レガシーのチャンネルアプローチではサブスクリプションのプールへのユーザーアクセスを定義するのみでしたが、今回のアプローチは根本的に異なるものです。RHN クラシックに登録されているシステムは元のサブスクリプションの割り当てを維持したまま新たな Red Hat サブスクリプション管理に移行できます。

1. RHEL 7 へのアップグレード時におけるサブスクリプション管理

Red Hat Enterprise Linux 7.0 では Red Hat Enterprise Linux 6.x のオペレーティングシステムを Red Hat Enterprise Linux 7 にアップグレードする新規ツール redhat-upgrade-tool が導入されました。
Red Hat Enterprise Linux 6 から 7 へのアップグレードにおける手順と要件は、本ガイドの対象外になります。本ガイドでは、アップグレードプロセスの一部としてシステムサブスクリプションの管理に関連するステップを提供します。要件や警告を含むシステムアップグレードに関する完全な情報は、https://access.redhat.com/solutions/637583 を参照してください。

重要

redhat-upgrade-tool はベースとなるオペレーティングシステムをアップグレードしますが、インストール済みのソフトウェアやアプリケーションはこのスクリプトで必ずしもアップグレードされません。多くの製品では、Red Hat Enterprise Linux 7 コンテンツリポジトリーがまだ利用可能になっていません。
システムをアップグレードしても、ホスト型のコンテンツリポジトリーが利用可能になっていなければ、そのシステム上のアプリケーションの多くは Red Hat Enterprise Linux 7 にアップグレードすることができません。
多くのケースでは、Red Hat Enterprise Linux 6 環境のアップグレードは新たな Red Hat Enterprise Linux 7 システムをインストールすることと変わりありません。つまり、システムはサブスクリプションサービスに対して新規のアイデンティティーとして登録され、登録後はシステムに新規のサブスクリプションがアタッチされます。ただし、現在アタッチされているシステムサブスクリプションは、それらがインフラストラクチャー内の新規かつアップグレードされたシステムや他のシステムに利用可能となるように、適切に処理される必要があります。
Red Hat Enterprise Linux 7 へのアップグレード時にサブスクリプションを管理するには、以下の手順を行います。
  1. Red Hat Enterprise Linux 6 を更新して必要なアップグレードツールをインストールし、システムを再起動します。
  2. preupgrade チェックを実行します。
  3. これまで使用していたサブスクリプションサービスからシステムの登録を解除します。これには unregister コマンドを使用します。 
    [root@server  ~]# subscription-manager unregister
  4. Red Hat Enterprise Linux 6 製品証明書を削除して、システムのアップグレードを可能にします。この証明書を削除しておかないと、後でこのシステムを登録する際に Red Hat Enterprise Linux 6 システムとして誤って認識されてしまうため、競合が発生します。 
    [root@server  ~]# rm -rf /etc/pki/product/69.pem
  5. アップグレードスクリプトを使用して、システムを Red Hat Enterprise Linux 7 にアップグレードします。この例ではバージョンは Red Hat Enterprise Linux 7.0 に設定され、インストールディレクトリーは公開 FTP リポジトリーを指しています。 
    [root@server  ~]# redhat-upgrade-tool-cli --network 7.0 --instrepo ftp://ftp.redhat.com/pub/redhat/rhel/7.0/x86_64/os

    注記

    ここでアップグレードされるのは、ベースとなるオペレーティングシステムのみです。他の製品やアプリケーションは、別途アップグレードする必要があります。
  6. システムを再度サブスクリプションサービスに登録します。これには register コマンドを使用します。 
    [root@server  ~]# subscription-manager register --username admin@example.com
Password: 
The system has been registered with id: 7d133d55-876f-4f47-83eb-0ee931cb0a97
  7. 必須のレイヤー製品に利用可能な Red Hat Enterprise Linux 7 リポジトリーを探して、それを使用するよう yum を設定します。
  8. オプション で、必要なサブスクリプションをアタッチします。例を示します。 
    [root@server1 ~]# subscription-manager list --available

+-------------------------------------------+
    Available Subscriptions
+-------------------------------------------+
ProductName:            RHEL for Physical Servers
ProductId:              MKT-rhel-server
PoolId:                 ff8080812bc382e3012bc3845ca000cb
Quantity:               10
Expires:                2016-09-21

[root@server1 ~]# subscription-manager attach --pool=ff8080812bc382e3012bc3845ca000cb

2. RHN クラシックからのシステム移行

システムで設定済みの RHN クラシックチャンネルは、移行の一部として、カスタマーポータルのサブスクリプション管理で、インストール済み各製品の製品証明書にマッピングされます。システムが登録されると、Subscription Manager はその証明書を使用して、適切なサブスクリプションをシステムにアタッチ、または自動的にアタッチします。
システム登録を、RHN クラシックからカスタマーポータルのサブスクリプション管理または Subscription Asset Manager に切り替え、以前のサブスクリプションを再度適用するには、移行ツールを使用できます。
Red Hat Enterprise Linux 5 および 6 の両方で、システム登録とサブスクリプションを、RHN クラシック ホスト型 からカスタマーポータルのサブスクリプション管理 (ホスト型) に移行するには、rhn-migrate-classic-to-rhsm 移行スクリプトを使用します。

2.1. カスタマーポータルのサブスクリプション管理と RHN クラシックの違い

カスタマーポータルのサブスクリプション管理と RHN クラシックには概念的な違いがあり、これは機能性と情報の表示方法の違いになって現れます。

2.1.1. 移行の目的

『サブスクリプションの概念およびワークフロー』 では、サブスクリプションを明確かつ詳細に一貫して追跡する重要性について説明しています。これは、IT メンテンナンスで重要性が高まっている部分です。RHN クラシックの従来型のチャンネルベースのサブスクリプション管理プロセスは、アクセス付与に関しては優れたものでした。一方で、サブスクリプションの適用方法、使用中のサブスクリプションの数、サブスクリプションの使用場所、個々のシステムが使用しているものについて正確に詳細を把握することは非常に困難でした。
さらに詳細なサブスクリプション管理の必要性が高まったため、カスタマーポータルのサブスクリプション管理、Subscription Asset Manager、および Red Hat の同様のサブスクリプションサービスは、サブスクリプション管理のみにフォーカスするよう設計されています。コンテンツ配信や設定管理などの他のシステム管理タスクは、それらのシステム管理タスク用に設計された他のアプリケーションで処理されます。
このため、カスタマーポータルのサブスクリプション管理や Subscription Asset Manager は、堅牢なシステム管理ツール (Satellite 6、JBoss Operations Network、Puppet) やその他のアプリケーションと 併せて 使用されます。
Red Hat Enterprise Linux システムは、カスタマーポータルのサブスクリプション管理または Subscription Asset Manager に移行することが推奨されます。これにより、強化されたサブスクリプションの追跡、アセットインベントリーの管理、堅牢なサブスクリプション管理サービスによるコンプライアンスレポートの機能が提供可能になります。 カスタマーポータルのサブスクリプション管理では、IT 管理者にとって極めて重要となる、適切でより詳細なサブスクリプション情報が提供されます。

2.1.2. カスタマーポータルのサブスクリプション管理のフォーカス

カスタマーポータルのサブスクリプション管理の核は、サブスクリプションとそれを使用しているシステムの関係を定義することです。このため、サブスクリプションは、システムで 利用可能かつインストール済みの製品 に基づいて整理されます。
カスタマーポータルのサブスクリプション管理におけるサブスクリプションは 利用可能な製品 を定義します。利用可能な製品とは、システムがインストール、更新、サポートの受信に対応している製品のことです。ローカルでは、Red Hat サブスクリプションマネージャーは実際にインストール済みの製品を追跡し、これらの製品がどのようにアタッチ済みのサブスクリプションまたはアタッチ可能なサブスクリプションに適合するかについての情報を提供します。
カスタマーポータルのサブスクリプション管理は、サブスクリプションと製品にのみフォーカスしています。これより高度なシステム管理については、Satellite 6 や JBoss Operations Network といったシステム管理製品が実行します。

2.1.3. RHN クラシックのフォーカス

RHN クラシックはサブスクリプション管理のみではなく、全般的なシステム管理によりフォーカスしています (つまり、Satellite のホスト型バージョンになります)。
RHN クラシックは、新規システムを編集、キックスタートする設定ファイルなど、システムを管理する多くのツールを提供します。管理の一部としてシステムの登録やサブスクリプションの割り当てがありますが、この点にカスタマーポータルのサブスクリプション管理とは重要な違いがあります。RHN クラシックは、サブスクライブしているコンテンツへのアクセスを提供しようとします。つまり、その意図するところは使用の追跡ではなく、アクセスを確実に提供することです。
これを行う最も簡単な方法は、全製品をプールまたは チャンネル に整理した後、サブスクリプションを使ってそのチャンネルにアクセスを提供することです。これによりサブスクリプションの全体像がより簡単に把握できますが、ローカルシステム、サブスクリプション、およびインストール済み製品間の関係は失われます。

2.1.4. 機能性の相違点

カスタマーポータルのサブスクリプション管理と Subscription Asset Manager は両方とも、サブスクリプション管理にのみフォーカスしています。 これらは システム 管理ツールではなく、そのための設計もされていません。RHN クラシックでは、システム管理全体の一部としてサブスクリプション管理が含まれており、この点が異なります。
カスタマーポータルのサブスクリプション管理と RHN クラシックではフォーカスが異なるため、サポートする機能にも違いがあります。

表1 カスタマーポータルのサブスクリプション管理と RHN クラシックの機能比較

カスタマーポータルのサブスクリプション管理RHN クラシック
システム登録
サブスクリプションの割り当て
コンテンツ配信
設定ファイルの管理ローカルで実行する必要あり
システムスナップショットの作成ローカルで実行する必要あり
システムのキックスタートSatellite 6 または他の管理ツールが実行
スクリプトの実行Satellite 6 または他のツールが実行。

2.1.5. 登録とサブスクリプションプロセスでの相違点

カスタマーポータルのサブスクリプション管理と RHN クラシックはフォーカスが異なるため、サブスクリプションと登録プロセスの処理方法も異なります。
RHN クラシックではアクセスにフォーカスしているため、システムは登録プロセスの一環として、互換性のあるチャンネルを自動的にサブスクライブします。登録自体がアクセスを付与するプロセスになります。
カスタマーポータルのサブスクリプション管理は、購入したサブスクリプションと実際に使用する製品との関係を定義することを目的にしています。互換性のあるサブスクリプションをシステムに自動的にアタッチすることは可能ですが (これが firstboot のデフォルト設定)、サブスクリプションを手動でアタッチすることもできます。これにより、いつ、どのサブスクリプションをアタッチするかについて、管理者が制御できます。サブスクリプションとシステムに互換性がない場合でも、それを強制するオプションが可能になります。

2.1.6. 排他性

システムは、カスタマーポータルのサブスクリプション管理 (デフォルト) か RHN クラシックのいずれか一方に登録してください (両方に登録することはできません)。これら 2 つのサブスクリプションサービスは相互排他的なので、クライアントツールとシステムインベントリーは別個のものになります。
システムがいずれかに登録されると、サブスクリプションインベントリー用の識別子が与えられます。カスタマーポータルのサブスクリプション管理と RHN クラシックはいずれも、登録プロセスの完了前に既存の識別子をチェックします。
システムがすでに一方に登録されている場合は、もう一方に登録しようとするとエラーが発生します。

2.1.7. 移行パス

移行プロセスには、RHN クラシックからカスタマーポータルのサブスクリプション管理へのシステムの完全な登録情報の移動を伴います (サブスクリプションを含む)。システムは一意の番号で識別されます。これは systemid の値 (Red Hat Enterprise Linux 5 または 6) またはインストール番号 (Red Hat Enterprise Linux 5) のいずれかになります。
移行スクリプトはこの識別子を取り、それを使用してシステムエントリーを抽出、移行します。rhn-migrate-classic-to-rhsm は、/etc/sysconfig/rhn/systemid ファイルのシステム ID に基づいて移行を実行します。

2.2. 移行ツールのインストール

virt-limit=unlimited のサブスクリプション (例: データセンター) がある場合には、RHN から RHSM に移行する前に virt-who を設定する必要があります。移行する前に virt-who を設定しておかないと、virt-who を必要とするサブスクリプションを使用するシステムでリポジトリーやサブスクリプションが利用できなくなる場合があります。
RHEL 6 または RHEL 7 を実行しているシステムでは、カスタマーポータル で自動設定ツール virt-who が利用できます。
移行ツールは、subscription-manager-migration パッケージに含まれています。追加パッケージである subscription-manager-migration-data は、RHN クラシックチャンネルをカスタマーポータルのサブスクリプション管理の製品証明書にマッピングするために必要になります。
  1. 移行ツールとデータは通常、Red Hat Enterprise Linux 5 または 6 の主要チャンネルにありますが、オプションまたは補助チャンネルにある場合もあります。以下のように、yum search を実行して、パッケージが利用可能であることを確認します。 
    [root@server ~]# yum search subscription-manager-migration -v
Not loading "rhnplugin" plugin, as it is disabled
Loading "product-id" plugin
Loading "refresh-packagekit" plugin
Loading "security" plugin
Loading "subscription-manager" plugin
Updating certificate-based repositories.

================= N/S Matched: subscription-manager-migration ==================
subscription-manager-migration.x86_64 : Migration scripts for moving to
                                      : certificate based subscriptions
Repo        : rhel-6-server-rpms

subscription-manager-migration-data.noarch : RHN Classic to RHSM migration data
Repo        : rhel-6-server-rpms
    必要な場合は、移行 RPM を含む補助リポジトリーを有効にします。 
    [root@server ~]# subscription-manager repos --enable rhel-6-server-optional-rpms
  2. 移行ツールのパッケージをインストールします。 
    [root@server ~]# yum install subscription-manager-migration subscription-manager-migration-data

2.3. RHN クラシックからカスタマーポータルのサブスクリプション管理への移行

注記

virt-limit=unlimited サブスクリプション (Virtual Data Center エンタイトルメントなど) をお持ちの場合は、RHN から RHSM に移行する前に virt-who を設定する必要があります。移行する前に virt-who を設定しておかないと、virt-who が必要になるサブスクリプションを使用しているシステムで、リポジトリーやサブスクリプションが利用できなくなる場合があります。
ホスト型サブスクリプションサービスである RHN クラシックに登録されているシステムは、rhn-migrate-classic-to-rhsm スクリプトを使用して、カスタマーポータルのサブスクリプション管理に移行できます。
一般的な操作としては、RHN クラシックからシステムを登録解除して、カスタマーポータルのサブスクリプション管理に登録します。その後、サブスクリプションマネージャー (GUI または CLI) を開いてサブスクリプションをアタッチします。
rhn-migrate-classic-to-rhsm スクリプトは以下の構文を使用します。 
rhn-migrate-classic-to-rhsm [--force|--gui|--help|--no-auto|--servicelevel=SERVICE_LEVEL]
移行を実行すると、システム情報に、移行に使用されたスクリプトと、以前のシステム ID が表示されます。 
[root@server ~]# subscription-manager facts --list | grep migr
migration.classic_system_id: 09876
migration.migrated_from: rhn_hosted_classic
migration.migration_date: 2012-09-14T14:55:29.280519
これにより、インフラストラクチャー内でのシステムの移行プロセス追跡が容易になります。
移行の比較

RHN クラシックと Red Hat カスタマーポータルのサブスクリプション管理の機能比較については、以下の表を参照してください。この表には実装許可がなされていない将来のサービスに関する記述が含まれている可能性があり、それらの提供を約束するものではないことに注意してください。

RHN クラシックホスト型のお客様向けの移行オプションおよび実装戦略の詳細情報は、「Red Hat Network クラシック (ホスト型) の Red Hat サブスクリプション管理への移行」「Red Hat Enterprise Linux 7 (RHEL 7) における RHN Classic Hosted またはスタンドアロンの Proxy Customer オプション」 を参照してください。

特長/機能

RHN クラシック

Red Hat カスタマーポータル (Red Hat Subscription Management)

Red Hat 製品のサポート
  

サポート対象の Red Hat Enterprise Linux バージョン

Red Hat Enterprise Linux 4 の全現行製品およびバージョン。Red Hat Enterprise Linux 5 および 6 の全現行製品およびバージョン。「Red Hat Enterprise Linux 7 の全現行製品およびバージョン」 は、「Red Hat Satellite 5.7」 ではサポートされますが、「RHN クラシックホスト型またはスタンドアロンの Proxy」 には対応していません。

Red Hat Enterprise Linux 5 (5.7 以降)、Red Hat Enterprise Linux 6 (6.1 以降)、 Red Hat Enterprise Linux 7。Red Hat Enterprise Linux の将来のバージョンも対応予定。

サポート対象の Red Hat Enterprise Virtualization バージョン

RHEV 2.1、2.2、3.0 を含むすべての現行製品とバージョン。

RHEV 3.0 以降。

Red Hat Enterprise Linux の RHSM への移行サポート

該当なし

Red Hat Enterprise Linux 5 (5.8 以降) の場合は、「Red Hat Subscription Management」 で説明されている移行ツールを使用。

Red Hat Enterprise Linux 6 (6.3 以降) の場合は、「Red Hat Subscription Management」 「RHN Classic から RHSM への移行」 で説明されている移行ツールを使用。

Red Hat Satellite 5

5.x の全バージョンに対応

部分的に対応。カスタマーポータルから Satellite 5 証明書を発行できます。Satellite 5.6 または 5.7 は SAM 1.3 以降と統合して、サブスクリプションステータスレポートを提供することができます。

Red Hat Satellite 6

いいえ

はい

全製品 SKU のサポート

はい。ただし、将来の製品は RHN クラシック非対応となる可能性があります。

はい。ただし、多少の例外あり。「Why aren’t my subscriptions available in Red Hat Subscription Management?」 を参照してください。

サブスクリプション管理のサポート
  

インストール方法でのデフォルトのクライアント

Red Hat Enterprise Linux 5 (5.7 およびそれ以前)、Red Hat Enterprise Linux 6 (6.1 およびそれ以前)、Red Hat Enterprise Linux 4 すべて。

Red Hat Enterprise Linux 6 (6.3 以降)、Red Hat Enterprise Linux 5 (5.9 以降)、Red Hat Enterprise Linux の将来のバージョン。

クライアントのコンテンツベース

RHN クラシック rhn-channel コマンド (「rhn-channel コマンドとは何ですか? どのように使用しますか?」 を参照)

Red Hat サブスクリプションマネージャーの subscription-manager コマンドでサブスクリプションを登録および追加します。

クライアントのコマンドラインユーティリティー

yum update (Red Hat Enterprise Linux 5 以降)、up2date (Red Hat Enterprise Linux 4)

yum update

システム登録

rhn_register、rhnreg_ks

subscription-manager register (「Red Hat Subscription-Manager を使用して Red Hat カスタマーポータルにシステムを登録してサブスクライブする」 を参照)

アクティベーションキー

はい。Smart Management サブスクリプションを使用。

はい。Red Hat Subscription Asset Manager (SAM)Red Hat Satellite 6、および Red Hat カスタマーポータル から。

クライアントでインストール済みシステムに適用可能なサブスクリプションを一覧表示

該当なし

subscription-manager list --available

クライアントで全サブスクリプションを強制的に一覧表示

該当なし

subscription-manager list --available --all ( 「Why can’t I see available subscriptions for my system in Red Hat Subscription Management?」 を参照)

サブスクリプションのスマート自動サブスクライブ

該当なし

subscription-manager register --autosubscribe (「証明書ベースのサブスクリプション管理でチャンネルをサブスクライブする」 を参照)

クライアントにおけるグラフィカルユーザーインターフェース

システム → 管理 → RHN 登録

システム → 管理 → Red Hat サブスクリプションマネージャー

パッケージ更新ユーティリティー

/usr/bin/yum システム → 管理 → ソフトウェアの追加/削除

/usr/bin/yum システム → 管理 → ソフトウェアの追加/削除

Yum プラグインサポート

yum-rhn-plugin (rhnplugin.conf を提供)

subscription-manager (subscription-manager.conf および product-id.conf を提供)

お客様用のウェブベースの管理ツール

はい。http://rhn.redhat.com

はい。http://access.redhat.com/management

コンテンツ配信ネットワークによるコンテン更新のサポート

はい

はい

Email によるエラータ通知

はい

はい

カスタマーポータル: 「How do I get errata notifications from Red Hat Subscription Management?」

Satellite 6.1: 「Subscribing to Errata Notifications」

IP ベースのファイアウォールルールのサポート

はい (「RHN クラシックの Location Aware Updates 機能を無効にする方法」を参照)

はい (「How do I disable Location Aware Updates with Red Hat Subscription Management?」を参照)

sosreport 診断ロギングのサポート

はい

はい

オプションおよび補助チャンネルは利用可能か?

はい、ただしデフォルトではオフになっています (「Red Hat Enterprise Linux 6 で大量の devel パッケージが利用できません」 を参照)

はい、ただしデフォルトではオフになっています (「Red Hat Subscription Management (RHSM) を使用して、オプショナルチャンネル、サブチャンネル、-devel パッケージにアクセスする 」 を参照)

サブスクリプションステータスのサポート

部分的に対応。Red Hat Satellite 5.6 または 5.7 は Red Hat SAM 1.3 以降と統合してサブスクリプションステータスに対応できます。

はい

サブスクリプション使用リポートの対応

部分的に対応。Red Hat Satellite 5.6 または 5.7 は Red Hat SAM 1.3 以降と統合してサブスクリプションステータスに対応できます。

はい。Red Hat Subscription Asset Manager FUTURE、Red Hat Satellite 6 を使用。

システム管理のサポート
  

Smart Management Red Hat Enterprise Linux アドオンのサポート

はい

はい。Red Hat Satellite 6 を使用。

マシンのプロビジョニングおよびモニタリングのサポート

はい。Smart Management サブスクリプションを使用。

はい。Red Hat Satellite 6 のプロビジョニング機能を使用。

コンテンツ管理のサポート
  

コンテンツダウンロードの GUI

はい

はい

リモート更新のサポート

はい。Smart Management サブスクリプションを使用。

いいえ

オフライン更新のサポート

はい。Red Hat Satellite 5 を使用。

将来的に Red Hat Subscription Asset Manager を使用。現行は Red Hat Satellite 6 を使用。

プロキシ化更新のサポート

はい。Red Hat Satellite Proxy 5 を使用。

はい。Red Hat Subscription Asset Manager (SAM) および Red Hat Satellite 6 Capsule Server を使用。

2.3.1. RHN クラシックからカスタマーポータルのサブスクリプション管理への基本的な移行

rhn-migrate-classic-to-rhsm ツールを実行するだけで、システムプロファイルの移行、カスタマーポータルのサブスクリプション管理へのシステムの登録、システムへの最適なサブスクリプションの自動アタッチメントを行うことができます。管理者は、オプションで、システムのサービスレベルを設定でき、選択するサブスクリプションを評価する際に使用できます。
管理者が以下のコマンドを実行すると、スクリプトがアカウントを移行するステップを実行します。 
[root@server ~]# rhn-migrate-classic-to-rhsm --servicelevel=premium
RHN Username: jsmith@example.com
Password:
このスクリプトは、Red Hat Network に接続するのに使用するユーザー名とパスワードを要求します。これらの認証情報を使用して Red Hat Network Classic と Red Hat Network サブスクリプション管理に認証を行い、アカウント設定を検証します。
アカウントが確認されると、スクリプトはシステム用のチャンネルリストを作成します。 
Retrieving existing RHN classic subscription information ...
+----------------------------------+
System is currently subscribed to:
+----------------------------------+
rhel-i386-client-5
検出された各チャンネルは、対応する製品証明書にマッピングされます (「チャンネルと証明書のマッピング」)。すべての製品に製品証明書があるとは限らないため、すべてのチャンネルにマッピングがあるわけではありません。チャンネルがある製品にのみ、対応する証明書マッピングがあります。
一致する証明書が /etc/pki/product ディレクトリーにインストールされます。 
List of channels for which certs are being copied
rhel-i386-client-5

Product Certificates copied successfully to /etc/pki/product !!
次に、スクリプトが RHN クラシックからシステムを登録解除します。 
Preparing to unregister system from RHN classic ...
System successfully unregistered from RHN Classic.
その後、システムをカスタマーポータルのサブスクリプション管理に登録します。 
Attempting to register system to RHN ...
The system has been registered with id: abcd1234
System server.example.com successfully registered to RHN.
スクリプトは一致するサブスクリプションをシステムに自動的にアタッチし、選択したサブスクリプションの一覧を表示します。 
Attempting to auto-subscribe to appropriate subscriptions ...
Installed Product Current Status:
ProductName:            Red Hat Enterprise Linux Desktop
Status:                 Subscribed

Successfully subscribed.

2.3.2. オンプレミスサービスへの移行

デフォルトでは、rhn-migrate-classic-to-rhsm ツールは、サブスクリプションマネージャーのデフォルト設定を使用して、システムをカスタマーポータルのサブスクリプション管理 (ホスト型) サービスに移行します。Subscription Asset Manager のようなオンプレミスのサブスクリプション管理サービスがあるインフラストラクチャーの場合は、デフォルト設定を変更することで、移行プロセスでオンプレミスのサブスクリプションサービスにシステムを登録し、一致するサブスクリプションをアタッチできます。
これは、オンプレミスサービスの URL を指定する --serverurl オプションを使用して実行します。この場合は、認証情報もオンプレミスのサブスクリプション管理サービスのアカウントに渡す必要があります (RHN アカウントとは異なります)。 
[root@server ~]# rhn-migrate-classic-to-rhsm --serverurl=sam.example.com

2.3.3. サブスクリプションの手動での選択

別の方法では、管理者は rhn-migrate-classic-to-rhsm を実行して Subscription Manager UI を開き、サブスクリプションを手動で選択することができます。
rhn-migrate-classic-to-rhsm--gui オプションを付けて実行すると、システムを登録してから UI を開きます。システムにはサブスクリプションをアタッチしません。
全体のプロセスは、最後から 2 番目のステップまで 「RHN クラシックからカスタマーポータルのサブスクリプション管理への基本的な移行」 と同じです。サブスクリプションをアタッチする代わりに URL を返し、Subscription Manager GUI の 全ての利用可能なサブスクリプション タブを開きます。 
[root@server ~]# rhn-migrate-classic-to-rhsm --gui 
RHN Username: jsmith@example.com
Password:

Retrieving existing RHN classic subscription information ...

... 8< ...

Launching the GUI tool to manually subscribe the system ...
サブスクリプション選択のタブ

図1 サブスクリプション選択のタブ

2.4. チャンネルと証明書のマッピング

subscription-manager-migration-data パッケージには、RHN クラシックチャンネルをカスタマーポータルのサブスクリプション管理の製品証明書にマッピングするマッピングファイルが含まれています。このファイル (/usr/share/rhsm/product/RHEL-5/channel-cert-mapping.txt) は簡易なキーを使用して、値をマッピングします。 
channel_name: product_name-hash-product_cert.pem
以下の例では、Red Hat Enterprise Linux クライアントチャンネルを対応する製品証明書にマッピングしています。 
rhel-i386-client-workstation-5: Client-Workstation-i386-b0d4c042-6e31-45a9-bd94-ff0b82e43b1a-71.pem
移行中にマッピングは product_cert.pem に変換され、製品証明書は /etc/pki/product ディレクトリーにインストールされます。rhel-i386-client-workstation-5 の場合は、71.pem 製品証明書に移行します (マッピングの最後の 2 桁)。
ただし、多くのチャンネルはレガシーシステムでのみ利用可能であるか、製品証明書をリリースしていません。その場合、チャンネルにマッピングはありません。 
jbappplatform-4.3.0-fp-i386-server-5-rpm: none
このため、チャンネルの一部のみがカスタマーポータルのサブスクリプション管理に移行される、または製品が部分的にサブスクライブされるという状況が発生します。

2.5. 製品およびサブスクリプションに使用する証明書

サブスクリプション管理の一環として、システム、サブスクリプションサービス、利用可能な製品など、関連するすべての ID を検証する必要があります。サブスクリプションサービスは、サブスクリプションサービスの ID および認証に証明書を使用します。証明書には、利用可能なサブスクリプションおよびインストール済み製品に関する実際のデータも含まれています。
システムに初めてサブスクリプションをアタッチする際、システムはサブスクリプションサービスから証明書をダウンロードします。サブスクリプション証明書にはそのサブスクリプションで利用可能な製品の全情報が含まれています。サブスクリプション証明書は、組織のサブスクリプションに変更が生じた場合はいつでも取り消され、再発行されます。製品が実際にマシンにインストールされると、別の証明書が発行されシステム上の製品のサブスクリプションを管理します。
サブスクリプションマネージャーのサービスが発行、使用する証明書は .pem 形式のファイルです。このファイル形式は、以下の例のように、Base64 BLOB でキーと証明書を保存します。 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Subscription Manager では rct ツールを使用してこれらの証明書から情報を抽出し、整形出力形式で表示することができます。(opensslpk12util のような全般的な PKI 管理ツールでも可能。)
本セクションでは、サブスクリプションサービスが使用する各種証明書、およびそれらの証明書に含まれるサブスクリプションの情報を説明します。X.509 証明書や公開鍵インフラストラクチャー (PKI) の詳細情報は、Red Hat 証明書システムのドキュメントである、『Red Hat Certificate System Deployment Guide 』 の 「Introduction to Public-Key Cryptography」 に記載しています。

2.5.1. サブスクリプションサービスで使用する証明書

表2 コンテンツおよびサブスクリプションに使用する証明書タイプ

証明書タイプ説明デフォルトの場所
アイデンティティー証明書サブスクリプションサービスに対してシステムを特定するために使用されます。この証明書には、システム登録時にシステムに割り当てられる一意の ID が含まれています。この証明書自体は、システム登録時にサブスクリプションサービスが生成し、システムに送信されます。/etc/pki/consumer
サブスクリプション証明書システムにアタッチされたサブスクリプションをベースに、システムにインストール可能な製品一覧が記載されています。この証明書は、ソフトウェア製品、コンテンツ配信の場所、有効期間を定義します。サブスクリプション証明書が 1 つ存在すると、システムがサブスクリプションのどれか 1 つを使用したことを意味します。/etc/pki/entitlement
製品証明書インストールされた製品の関連情報が含まれています。/etc/pki/product/product_serial#.pem
CA 証明書サブスクリプションサービスが使用する SSL サーバー証明書を発行した認証機関の証明書です。システムが SSL を使用してサブスクリプションサービスに接続するには、この証明書がシステムにインストールされている必要があります。/etc/rhsm/ca/candlepin-ca.pem
Satellite 証明書製品一覧を含む XML 形式の証明書です。これは最新のサブスクリプションサービスではなく、オンプレミスの Satellite 5.x システムで使用されます。

2.5.2. アイデンティティー証明書の構造

アイデンティティー証明書は標準の SSL クライアント証明書です。この証明書は、システムのサブスクリプションサービスへの登録時に、サブスクリプションサービスが発行します。これ以降、システムが登録後にサービスに連絡する際には、この証明書を使用してサブスクリプションサービスに対して認証を行います。
この証明書には以下の 3 つの重要情報が含まれています。
  • システムの UUID (証明書の Subject CN に記載)
  • システムの登録先であるサブスクリプションサービス (証明書の発行者フィールドに記載)
  • システムを登録したユーザーアカウント (Subject Alt Name の DirName 値)
この証明書の有効期間は、サブスクリプションの契約期間やユーザーアカウント設定ではなく、システムの登録時期に関連付けられます。

例1 アイデンティティー証明書

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1430 (0x596)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: CN=subscription.server.example.com, C=US, L=Raleigh  
        Validity
            Not Before: Oct  6 16:32:05 2010 GMT
            Not After : Oct  6 23:59:59 2011 GMT
        Subject: CN=4881bd2f-868b-438c-af96-8b1d283daffc  
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:a3:72:2f:0e:be:20:cb:63:63:4d:c5:ec:eb:71:
                    8f:61:8b:19:3c:f9:54:ac:75:91:f5:98:ee:ae:0e:
                    0f:8c:3e:5e:50:47:4e:4b:7e:da:d4:15:f5:2f:b8:
                    4c:59:14:67:b5:e8:23:cd:0b:0c:bf:c1:38:da:72:
                    fe:0a:b9:73:97:30:c8:ab:e3:bf:68:23:49:2f:e9:
                    8a:18:18:35:77:39:cd:43:88:7d:28:f5:bd:bd:df:
                    1c:61:ce:93:37:42:71:93:32:5a:ad:73:d0:df:f3:
                    68:b0:a5:a7:fc:cf:fe:97:0c:a2:0e:0d:4c:08:36:
                    9e:23:4f:8c:56:2f:91:0f:a8:22:5d:7a:5a:64:29:
                    79:f3:34:cb:44:98:ec:de:e8:25:dd:93:f1:d6:63:
                    3a:2b:8b:57:67:15:64:b7:f0:8e:bc:06:f5:4a:64:
                    4f:62:74:de:0f:a7:d5:90:3d:ab:de:62:6c:b0:f9:
                    35:53:9d:4f:2f:7e:da:57:d1:85:d0:d5:89:96:95:
                    a0:58:90:5e:f8:3c:ea:a0:47:43:48:9e:10:db:85:
                    6b:a6:c2:bc:68:29:4f:17:01:b9:55:e6:b2:79:76:
                    fb:d7:67:32:2c:28:0e:a3:d9:a7:51:c1:e8:6d:ae:
                    36:6c:8d:7b:f2:2f:91:33:8f:14:9f:d9:55:bb:41:
                    4d:85
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            Netscape Cert Type:
                SSL Client, S/MIME
            X509v3 Key Usage:
                Digital Signature, Key Encipherment, Data Encipherment
            X509v3 Authority Key Identifier:
                keyid:68:98:D4:DD:94:B6:E9:71:70:C1:72:D2:3E:A0:40:62:D3:CA:8E:82
                DirName:/CN=subscription.server.example.com/C=US/L=Raleigh
                serial:D6:CE:78:B1:56:9C:37:41

            X509v3 Subject Key Identifier:
                66:C1:E5:FA:8E:CE:1D:F6:83:85:AA:AF:08:5C:FF:DE:88:BA:92:20
            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Subject Alternative Name:  
                DirName:/CN=admin-example  
    Signature Algorithm: sha1WithRSAEncryption
        0d:c4:74:6c:7a:fe:1f:61:f9:c7:3b:d9:18:70:7a:38:51:e2:
        bb:a3:03:7e:7e:af:76:82:5e:fa:89:11:d1:9e:1c:e4:3e:58:
        56:2f:eb:95:da:dc:aa:18:6f:73:24:04:8e:5f:ea:84:0c:ea:
        8d:e6:c5:40:07:88:8d:41:30:c6:89:46:ca:cf:be:7b:8a:00:
        f6:86:c4:38:7b:0b:fd:56:ad:d0:b6:76:a3:5a:77:dd:69:46:
        47:f7:5f:46:81:6b:34:f4:4b:60:ea:e7:2c:2b:08:1f:c7:57:
        ea:8d:24:4b:05:b3:a8:95:9b:af:05:36:11:38:e5:fa:5b:6b:
        ca:5f

2.5.3. サブスクリプション証明書の構造

サブスクリプションは、ソフトウェアライセンスの割り当てに似ています。サブスクリプション証明書 には、システムで利用可能な製品 (システムがダウンロードや更新を行う権利を認められているソフトウェア) の一覧が含まれています。システムがサブスクリプションプールにアタッチされると、そのシステムはサブスクリプションサービスからサブスクリプション証明書を取得します。証明書には、利用可能な製品の全情報が格納されています。
サブスクリプション証明書には、可能性のある全コンテンツソースからの 可能性がある 全製品一覧が記載されています。サブスクリプション証明書の構造では、製品、コンテンツサーバー、ロール、オーダー、システムの複数の名前空間が可能です。また、サブスクリプション証明書には、アタッチされたプールについての 完全 情報も記載され、特定のシステムとの互換性がない製品も対象となります。サブスクリプション証明書のアーキテクチャーおよびバージョン定義には、許可されている アーキテクチャーとバージョンがすべて記載されます。

注記

ローカルのサブスクリプションマネージャーは、定期的 (デフォルトでは 4 時間ごと) にサブスクリプションサービスをポーリングし、サブスクリプション内の変更を確認します。サブスクリプションが変更されていると、元のサブスクリプション証明書は取り消され、新規のサブスクリプション証明書に置き換えられます。
サブスクリプション証明書は *.pem ファイルで、サブスクリプション証明書のディレクトリー /etc/pki/entitlement に保存されてます。*.pem ファイルの名前は、サブスクリプションサービスにより生成された数値識別子です。この ID は、サブスクリプションの数量とソフトウェアインベントリ内のシステムを関連付けるために使用するインベントリー番号です。
証明書の見出しには、その証明書を発行したサブスクリプションサービス名、証明書の有効期間 (製品のインストール日に関連)、製品インストールのシリアル番号が表示されています。 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            3c:da:6c:06:90:7f:ff
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: CN=candlepin.example.com, C=US, L=City
        Validity
            Not Before: Oct  8 17:55:28 2010 GMT
            Not After : Oct  2 23:59:59 2011 GMT
        Subject: CN=8a878c912b875189012b8cfbc3f2264a
... [以下省略] ...
製品の主要な定義は、証明書に追記されるカスタム証明書拡張子で指定されます。各 名前空間 は、製品名、配信可能なコンテンツサーバー、配信形式、リリースを特定する GPG キーなど、製品に関する特定情報を定義します。各エントリーは、以下と同じ基本形式を使用した数値 OID (オブジェクト識別子) で識別されます。 
1.3.6.1.4.1.2312.9.2.product_#.config_#:
   ..config_value
上記の 2 は、製品エントリーであることを示しています。product_# は特定の製品またはバリアントを特定する一意の ID です。config_# はコンテンツサーバーまたは利用できる数量など、製品のインストール情報に関するものです。

注記

すべてのサブスクリプション関連の証明書拡張子は、OID ベースの 1.3.6.1.4.1.2312.9 で始まります。これに続く数値が、各種のサブスクリプションエリアを特定します。
  • .2. は製品固有の情報です。
  • .1. はサブスクリプション情報です。
  • .4. には ID 番号、開始日や終了日などの契約情報が含まれています。
  • .5. には製品をインストールしたシステム ID などのシステム情報が含まれています。
製品定義には、製品の特定とインストールに必要な全情報を設定する一連のエントリーが記載されています。各タイプの情報には、全製品に一貫して使用される独自の ID (OID 形式の config_#) があります。例2「サブスクリプション証明書の注釈付き Red Hat Enterprise Linux High Availability 製品拡張子」 は、製品の一例です。

例2 サブスクリプション証明書の注釈付き Red Hat Enterprise Linux High Availability 製品拡張子

            content repository type  
            1.3.6.1.4.1.2312.9.2.30393.1:
                ..yum
            product  
            1.3.6.1.4.1.2312.9.2.30393.1.1:
                .HRed Hat Enterprise Linux High Availability (for RHEL Subscription) (RPMs)
            channel name  
            1.3.6.1.4.1.2312.9.2.30393.1.2:
                .Dred-hat-enterprise-linux-high-availability-for-rhel-entitlement-rpms
            vendor  
            1.3.6.1.4.1.2312.9.2.30393.1.5:
                ..Red Hat
            download URL  
            1.3.6.1.4.1.2312.9.2.30393.1.6:
                .Q/content/dist/rhel/entitlement/releases/$releasever/$basearch/highavailability/os
            key download URL  
            1.3.6.1.4.1.2312.9.2.30393.1.7:
                .2file:///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release
            flex quantity  
            1.3.6.1.4.1.2312.9.2.30393.1.4:
                ..0
            quantity  
            1.3.6.1.4.1.2312.9.2.30393.1.3:
                ..25
            repo enabled setting  
            1.3.6.1.4.1.2312.9.2.30393.1.8:
                ..1

2.5.4. 製品証明書の構造

システムにアタッチされたサブスクリプションを通じてシステムにインストールされた製品は、証明書で特定されます。利用可能な製品がインストールされると、サブスクリプションサービスは、製品の契約情報および特定のインストール情報が記載された 製品証明書 を生成します。
サブスクリプション証明書と製品証明書は、構造的には非常によく似ています。どちらも製品に関する同じ情報を提供するためです。主な相違点は、製品証明書にはインストールされた単一の製品に関する情報が含まれている点です。サブスクリプション証明書に記載されているような、その他のサブスクリプション情報 (利用可能なその他の製品や製品バージョンなど) は製品証明書に含まれていません。
製品証明書には、システム上に実際にインストールされている製品 のみを表示する単一の製品の名前空間 (つまり、単一製品の定義) が記載されています。製品証明書のアーキテクチャーとバージョンの定義は、実際にインストールされている製品のアーキテクチャーとバージョンを反映します。
製品証明書は *.pem ファイルで、サブスクリプション証明書のディレクトリー /etc/pki/product/product_serial#.pem に保存されます。*.pem ファイルの名前は、サブスクリプションサービスが生成した数値識別子です。サブスクリプションの追跡と同様、生成された ID はインベントリー番号で、インストール済み製品を追跡し、それらをサブスクリプションサービス内のシステムと関連付けるために使用されます。

2.5.5. rct ツールで証明書情報を表示する

rct ツールは以下の 2 つのタスクを実行します。
  • 証明書情報のサイズと詳細情報を表示します (stat-cert)。
  • 製品やコンテンツセットの情報など、証明書内に含まれる情報 (見出し) を表示します (cat-cert)。
上記のコマンドで返される詳細は、確認する証明書のタイプによって異なります。
2.5.5.1. 証明書のサイズおよび詳細情報の表示
アカウントや組織が大きい場合、製品やサブスクリプションの数は大きく膨らむ可能性があります。そうなると、組織で利用可能な製品とコンテンツのセットの数は非常に多くなり、すべての情報がエンタイトルメント証明書で定義されることになります。
証明書の詳細情報を表示する主な理由は、証明書のサイズが多くの理由でコンテンツ配信サービスのパフォーマンスに影響を与えるためです。旧バージョンのエンタイトルメント証明書 (バージョン 1.0) は、現在とは異なる効率が悪い DER エンコーディングを使用していたため、情報が大量になると証明書が非常に大きくなっていました。このため、コンテンツサービスの利用時に、タイムアウトやクラッシュになることがありました。新バージョンのエンタイトルメント証明書 (バージョン 3.0) は、大規模なコンテンツにより効率的なエンコーディングを使用するので、サブスクリプションサービスの全体的なパフォーマンスが向上します。
コンテンツのセット数が「多い」とは、セットの総数が 185 を超える場合を指します。コンテンツセットの総数と証明書内の DER エンコーディングのサイズの両方がパフォーマンスに影響します。
この情報は、stat-cert コマンドを使用して、確認する証明書の PEM ファイルを指定すると表示できます。 
# rct stat-cert /path/to/PEM_FILE
各種証明書の場所は、表2「コンテンツおよびサブスクリプションに使用する証明書タイプ」 に記載してあります。

表3 stat-cert が返す情報

パラメーター説明設定可能な値適用される証明書のタイプ
Type確認する証明書のタイプを特定します。
  • Entitlement
  • Identity
  • Product
  • Entitlement
  • Identity
  • Product
Versionフォーマットしている証明書のバージョン。これが使用される DER のタイプを示します。
  • 3.0 (新)
  • 1.0 (旧)
  • Entitlement
  • Identity
  • Product
DER size証明書コンテンツのサイズ (証明書ファイル自体のサイズではありません)。サイズ (バイト単位)
  • Entitlement
  • Product
  • Identity
Subject Key ID size証明書に関連付けられた鍵のハッシュ化された公開鍵のサイズ (鍵ファイル自体のサイズではありません)。サイズ (バイト単位)
  • Entitlement
  • Identity
Content setsシステムで利用可能なコンテンツセットの総数 (システムの製品の対応全バージョンで利用可能)。
  • Entitlement
エンタイトルメント証明書の例は、以下のようになります。 
[root@server ~]# rct stat-cert /etc/pki/entitlement/2027912482659389239.pem
Type: Entitlement Certificate
Version: 1.0
DER size: 47555b
Subject Key ID size: 553b
Content sets: 100
アイデンティティーと製品の証明書はサイズが小さいため、あまり問題になることはありませんが、stat-cert コマンドを使って証明書のサイズや詳細情報を確認することは可能です。
製品証明書の例は、以下のようになります。 
[root@server ~]# rct stat-cert /etc/pki/product/69.pem
Type: Product Certificate
Version: 1.0
DER size: 1558b
アイデンティティー証明書の例は、以下のようになります。 
[root@server ~]# rct stat-cert /etc/pki/consumer/cert.pem
Type: Identity Certificate
Version: 1.0
DER size: 1488b
Subject Key ID size: 20b
2.5.5.2. 証明書情報の表示
各証明書には、特定された要素に関するすべての詳細を含む完全な情報が含まれています。証明書のタイプによって異なりますが、たとえば、シリアル番号、関連製品、注文情報、コンテンツセットなどです。これらの情報は、cat-cert コマンドを使用すると、整形出力形式で表示されます。 
# rct cat-cert /path/to/PEM_FILE [--no-product] [--no-content]

注記

エンタイトルメント証明書には、利用可能な製品と設定済みコンテンツリポジトリーに関する追加情報が含まれています。これらの情報は大量となるため、--no-product および --no-content のオプションを指定して製品およびリポジトリーの一覧を省き、証明書と注文情報のみを返すこともできます。
アイデンティティーと製品の証明書の場合は、これらのオプションは使用できません。
各種証明書の場所は、表2「コンテンツおよびサブスクリプションに使用する証明書タイプ」 に記載してあります。
最も基本的な情報は証明書自体に関するもので、ディレクトリーパス、シリアル番号、サブジェクト名、有効期間 (開始日と終了日) などになります。証明書自体に関する情報は、Certificate セクションにあります。証明書の subject DN は、Subject セクションにあります。
アイデンティティー証明書の例は、以下のようになります。 
[root@server ~]# rct cat-cert /etc/pki/consumer/cert.pem

+-------------------------------------------+
        Identity Certificate
+-------------------------------------------+

Certificate:
        Path: /etc/pki/consumer/cert.pem
        Version: 1.0
        Serial: 824613308750035399
        Start Date: 2012-11-09 16:20:22+00:00
        End Date: 2013-11-09 16:20:22+00:00
        Alt Name: DirName:/CN=server.example.com

Subject:
CN: e94bc90e-44a1-4f8c-b6fc-0a3e9d6fac2b
製品証明書には、Product セクションに追加情報があります。これは特定のインストール済み製品の名前、製品バージョン、当該製品に使用されている yum タグなどの情報を定義します。以下に例を示します。 
[root@server ~]# rct cat-cert /etc/pki/product/69.pem

+-------------------------------------------+
       Product Certificate
+-------------------------------------------+

Certificate:
       Path: /etc/pki/product/69.pem
       Version: 1.0
       Serial: 12750047592154746449
       Start Date: 2012-10-04 18:45:02+00:00
       End Date: 2032-09-29 18:45:02+00:00

Subject:
       CN: Red Hat Product ID [b4f7ac9e-b7ed-45fa-9dcc-323beb20e916]

Product:
       ID: 69
       Name: Red Hat Enterprise Linux Server
       Version: 6.4
       Arch: x86_64
        Tags: rhel-6,rhel-6-server
ほとんどの情報はエンタイトルメント証明書に含まれています。Certificate および Subject セクションに加えて、サブスクリプションでカバーされている製品グループを定義する Product セクションもあります。
さらに Order セクションも含まれており、ここにはサブスクリプション購入に関する詳細情報がすべて記されています (たとえば、契約番号、サービスレベル、総数量、システムに割り当てられている数量、サブスクリプションに関する他の詳細情報など)。
ある製品におけるサブスクリプションでは、購入したバージョンとその製品のそれ以前のバージョンすべてをカバーします。たとえば、Red Hat Enterprise Linux 6 でサブスクリプションを購入した場合、このサブスクリプションではすべての RHEL 6 リポジトリーに完全アクセスが提供されるだけでなく、RHEL 5 の全リポジトリーと Subscription Asset Manager といった他に含まれる製品コンテンツリポジトリーへのアクセスも提供されます。利用可能なコンテンツリポジトリーはすべて Content セクションに記載され、ここではリポジトリー名、関連タグ、URL、およびデフォルトで yum リポジトリーが有効になっているかどうかについての情報などが表示されます。
以下に例を示します。 
[root@server ~]# rct cat-cert /etc/pki/entitlement/2027912482659389239.pem
+-------------------------------------------+
       Entitlement Certificate
+-------------------------------------------+

Certificate:
       Path: /etc/pki/entitlement/2027912482659389239.pem
       Version: 1.0
       Serial: 2027912482659389239
       Start Date: 2011-12-31 05:00:00+00:00
       End Date: 2012-12-31 04:59:59+00:00

Subject:
       CN: 8a99f9843adc8b8f013ae5f9de022b73

Product:
      ID: 69
      Name: Red Hat Enterprise Linux Server
      Version:
      Arch: x86_64,ia64,x86
      Tags:

Order:
      Name: Red Hat Enterprise Linux Server, Premium (8 sockets) (Up to 4 guests)
      Number: 2673502
      SKU: RH0103708
      Contract: 10011052
      Account: 5206751
      Service Level: Premium
      Service Type: L1-L3
      Quantity: 100
      Quantity Used: 1
      Socket Limit: 8
      Virt Limit:
      Virt Only: False
      Subscription:
      Stacking ID:
      Warning Period: 0
      Provides Management: 0

Content:
      Type: yum
      Name: Red Hat Enterprise Linux 6 Server (RPMs)
      Label: rhel-6-server-rpms
      Vendor: Red Hat
      URL: /content/dist/rhel/server/6/$releasever/$basearch/os
      GPG: file:///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release
      Enabled: True
      Expires: 86400
      Required Tags: rhel-6-server
単一のエンタイトルメント証明書には、数十から数百もの製品とコンテンツリポジトリーが含まれる可能性があります。その場合、cat-cert コマンドで --no-product または --no-content オプションを使用すると、出力でそれぞれ ProductContent セクションを省略できます。

2.5.6. Satellite 証明書の構造 (証明書の旧スタイル)

重要

Satellite 証明書は Satellite 5.x のデプロイメントで使用されるもので、Red Hat Enterprise Linux や証明書ベースのサブスクリプションサービスで使用されるものではありません。
すべてのシステムには、利用可能なサブスクリプションを特定する、セキュアで信頼できる方法が必要です。Satellite 5.x システムの場合は、デジタル署名の XML 文書を使用すると、お客様が購入した製品および数量を一覧表示することができます。
サブスクリプション証明書の場合と同様に、Satellite 証明書には、購入したサブスクリプションの情報 (サブスクリプションに対して登録できるシステムの合計数、開始日と終了日など) が記載されています。
サブスクリプションには以下の 2 つのタイプがあります。
  • システムサブスクリプション は、監視、プロビジョニング、仮想化など実行可能なサービスのサブスクリプションです。
  • チャンネルサブスクリプション または コンテンツサブスクリプション では、Red Hat Network 上のさまざまなソフトウェア製品のダウンロードチャンネルへのアクセスを提供します。例えば Supplementary や FastTrack のような Red Hat Enterprise Linux アドオン、Red Hat Directory Server のようなレイヤー製品などです。
1 つの Satellite 証明書に、これら両方のタイプを記載することができます。
システムサブスクリプションとサブスクリプションのメタデータは、証明書内では同じように設定されます。 
<rhn-cert-field name="configuration_area">value</rhn-cert-field>
name 引数では、設定するエンティティーを特定します。これは、サブスクリプションを発注した組織 (name="owner")、サブスクリプションの開始日と終了日 (name="issued"name="expires")、またはサブスクリプション自体のいずれかに指定することができます。システムサブスクリプションは name 引数を使用して、対応するサービスを設定します。各コンテンツサブスクリプションは、name="channel-family" タイプとして設定され、追加の family 引数で特定の製品を識別します。
Satellite 証明書における最初のセクションはメタデータです。メタデータは、その製品を購入した組織と、サブスクリプションの開始日および終了日を特定します。設定するフィールドは name 引数で、値はタグの間で指定します。証明書の最後の行でもサブスクリプションのメタデータを設定します。これには、Satellite のバージョンや XML 文書に使用した署名 (これで XML ファイルが証明書として使用可能になります) などが含まれます。 
  <rhn-cert-field name="product">RHN-SATELLITE-001</rhn-cert-field>
  <rhn-cert-field name="owner">Example Corp</rhn-cert-field>
  <rhn-cert-field name="issued">2009-04-07 10:18:33</rhn-cert-field>
  <rhn-cert-field name="expires">2009-11-25 00:00:00</rhn-cert-field>

... [snip] ...

  <rhn-cert-field name="satellite-version">5.3</rhn-cert-field>
  <rhn-cert-field name="generation">2</rhn-cert-field>
  <rhn-cert-signature>
-----BEGIN PGP SIGNATURE-----
Version: Crypt::OpenPGP 1.03

iQBGBAARAwAGBQJJ22C+AAoJEJ5ynaAAAAkyyZ0An18+4hK5Ozt4HWieFvahsTnF
aPcaAJ0e5neOfdDZRLOgDE+Tp/Im3Hc3Rg==
=gqP7
-----END PGP SIGNATURE-----
</rhn-cert-signature>
name="slot" フィールドは、この Satellite 証明書を使用してコンテンツを受け取ることが許可されるシステムの 合計 数を示します。これはグローバルの数量です。 
  <rhn-cert-field name="slots">119</rhn-cert-field>
システムサブスクリプションを設定するには、name 引数でサービスタイプを特定した上で、タグ間の値で数量を指定します。 
  <rhn-cert-field name="provisioning-slots">117</rhn-cert-field>
  <rhn-cert-field name="monitoring-slots">20</rhn-cert-field>
  <rhn-cert-field name="virtualization_host">67</rhn-cert-field>
コンテンツサブスクリプションには、ベース Red Hat Enterprise Linux サブスクリプション、Red Hat Enterprise Linux のバリエーション、Red Hat Enterprise Linux アドオン、ソフトウェア製品全般を含む、任意の製品の組み合わせを記載できます。一般的な Red Hat Enterprise Linux サーバーサブスクリプションは rhel-server ファミリーに記載されますが、特定の仮想化サーバー (Virtualization Server) のサブスクリプションでは、追加の rhel-server-vt ファミリーが提供されます。 
  <rhn-cert-field name="channel-families" quantity="95" family="rhel-server"/>
  <rhn-cert-field name="channel-families" quantity="67" family="rhel-server-vt"/>
Red Hat Enterprise Linux システムのアドオンおよび製品 (必ずしもオペレーティングシステム製品ではない) も rhel-* ファミリーに含まれます。このファミリーは、製品をサポートするプラットフォームを指しているためです。以下の例では、Red Hat Directory Server が rhel-rhdirserv ファミリーに入っています。 
  <rhn-cert-field name="channel-families" quantity="3" family="rhel-rhdirserv"/>
RHN クラシックまたは Satellite 5.x に登録した場合、大半のサブスクリプションには、プロビジョニングや設定管理などの機能をクライアント内で管理、有効化するサブスクリプションツールセットも含まれます。 
  <rhn-cert-field name="channel-families" quantity="212" family="rhn-tools"/>

A. 改訂履歴

改訂履歴
改訂 1.5-0.2Sun Jul 1 2018Terry Chuang
翻訳ファイルを XML ソースバージョン 1.5-0 と同期
改訂 1.5-0.1Thu Jun 21 2018Terry Chuang
翻訳ファイルを XML ソースバージョン 1.5-0 と同期
改訂 1.5-0February 28, 2017Anni Bond
virt-who 移行の情報を追加。
改訂 1.4-12January 11, 2016Red Hat Subscription Management Documentation Team
RHN クラシックと RHSM の相違点を比較する表を追加。
改訂 1.4-10September 10, 2014Deon Ballard
RHEL 5.11 でのサポートが除外されたため、RHEL 5 移行用の install-num-migrate-to-rhsm を削除。
改訂 1.3-5September 18, 2013Deon Ballard
新規コンテンツおよび SAM 1.3 リリース用に再編成。

法律上の通知

Copyright © 2016 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.