F.2. Squid プロキシー

手順

1. Squid プロキシーサーバーの HTTPS ポートのキーペアと証明書を取得します。このキーペアは、別の SSL/TLS サービスのキーペアを取得するのと同じ方法で取得できます。キーペアは、秘密鍵と署名付き証明書を含む 2 つの PEM ファイルの形式です。この手順では、proxy.key および proxy.cer という名前が付けられていることを前提としています。

   注記

   キーペアと証明書は、エンジンの認証局を使用して生成することもできます。プロキシーの秘密鍵および証明書がすでにあり、エンジン認証局でそれを生成したくない場合は、次の手順にスキップしてください。

2. プロキシーのホスト名を選択します。次に、プロキシーの証明書の識別名の他のコンポーネントを選択します。

   注記

   エンジン自体が使用するのと同じ国と同じ組織名を使用することが推奨されます。Manager がインストールされているマシンにログインし、次のコマンドを実行して、この情報を見つけます。

   openssl x509 -in /etc/pki/ovirt-engine/ca.pem -noout -text | grep DirName

   このコマンドは以下を出力します。

   subject= /C=US/O=Example Inc./CN=engine.example.com.81108

   ここでは /C=US/O=Example Inc. に注目します。これを使用して、プロキシーの証明書の完全な識別名を作成します。

   /C=US/O=Example Inc./CN=proxy.example.com

3. プロキシーマシンにログインし、証明書署名要求を生成します。

   # openssl req -newkey rsa:2048 -subj '/C=US/O=Example Inc./CN=proxy.example.com' -nodes -keyout proxy.key -out proxy.req

   重要

   証明書の識別名の前後にある引用符も含める必要があります。-nodes オプションは、秘密鍵を暗号化しないためのものです。つまり、プロキシーサーバーを起動するためにパスワードを入力する必要がないことを意味します。

   このコマンドは、proxy.key および proxy.req の 2 つのファイルを生成します。proxy.key は秘密鍵です。このファイルは安全に保管してください。proxy.req は証明書署名要求です。proxy.req に特別な保護は必要ありません。

4. 署名付き証明書を生成するには、証明書署名要求ファイルをプロキシーマシンからマネージャーマシンにコピーします。

   # scp proxy.req engine.example.com:/etc/pki/ovirt-engine/requests/.

5. Manager マシンにログインし、証明書に署名します。

   # /usr/share/ovirt-engine/bin/pki-enroll-request.sh --name=proxy --days=3650 --subject='/C=US/O=Example Inc./CN=proxy.example.com'

   証明書が署名され、10 年間 (3650 日) 有効になります。必要に応じて、証明書の有効期限を短く設定します。

6. 生成された証明書ファイルは /etc/pki/ovirt-engine/certs ディレクトリーで利用可能で、名前は proxy.cer です。プロキシーマシンで、このファイルを Manager マシンから現在のディレクトリーにコピーします。

   # scp engine.example.com:/etc/pki/ovirt-engine/certs/proxy.cer .

7. proxy.key と proxy.cer の両方がプロキシーマシンに存在することを確認します。

   # ls -l proxy.key proxy.cer

8. Squid プロキシーサーバーパッケージをプロキシーマシンにインストールします。

   # dnf install squid

9. 秘密鍵と署名済み証明書を、プロキシーがアクセスできる場所 (例: /etc/squid ディレクトリー) に移動します。

   # cp proxy.key proxy.cer /etc/squid/.

10. squid ユーザーが、これらのファイルを読み取れるようにパーミッションを設定します。

    # chgrp squid /etc/squid/proxy.*
    # chmod 640 /etc/squid/proxy.*

11. Squid プロキシーは、エンジンが使用する証明書を検証する必要があります。Manager 証明書をプロキシーマシンにコピーします。この例では、ファイルパス /etc/squid を使用します。

    # scp engine.example.com:/etc/pki/ovirt-engine/ca.pem /etc/squid/.

    注記

    デフォルトの CA 証明書は、Manager マシンの /etc/pki/ovirt-engine/ca.pem にあります。

12. squid ユーザーが、証明書ファイルを読み取れるようにパーミッションを設定します。

    # chgrp squid /etc/squid/ca.pem
    # chmod 640 /etc/squid/ca.pem

13. SELinux が Enforcing モードの場合は、semanage ツールを使用して、ポート 443 のコンテキストを変更し、Squid がポート 443 を使用できるようにします。

    # dnf install policycoreutils-python
    # semanage port -m -p tcp -t http_cache_port_t 443

14. 既存の Squid 設定ファイルを以下に置き換えます。

    https_port 443 key=/etc/squid/proxy.key cert=/etc/squid/proxy.cer ssl-bump defaultsite=engine.example.com
    cache_peer engine.example.com parent 443 0 no-query originserver ssl sslcafile=/etc/squid/ca.pem name=engine login=PASSTHRU
    cache_peer_access engine allow all
    ssl_bump allow all
    http_access allow all

15. Squid プロキシーサーバーを再起動します。

    # systemctl restart squid.service