Red Hat Training

A Red Hat training course is available for Red Hat Satellite

3.2. A RHN SSL Maintenance Tool

A Red Hat Network oferece uma ferramenta de linha de comando para facilitar a administração de sua infra-estrutura protegida: a RHN SSL Maintenance Tool, comumente conhecida por seu comando rhn-ssl-tool. Esta ferramenta é disponibilizada como parte do pacote rhns-certs-tools. Este pacote pode ser encontrado nos canais de software do RHN Proxy Server e RHN Satellite Server mais recentes (assim como na ISO do RHN Satellite Server). A RHN SSL Maintenance Tool possibilita a você gerar seu próprio conjunto de chaves SSL da Autoridade Certificadora, assim como os conjuntos de chaves SSL do servidor Web (por vezes chamados de pares de chaves).
Esta é somente uma ferramenta de criação que gera todas as chaves e certificados SSL necessários. Também empacota os arquivos no formato RPM para rápida distribuição e instalação em todas as máquinas cliente. Porém, não as implementa. Esta parte é deixada ao administrador, ou em muitos casos, é automatizada pelo RHN Satellite Server.

Nota

O rhns-certs-tools, que contém a rhn-ssl-tool, pode ser instalado e executado em qualquer sistema Red Hat Enterprise Linux corrente com requisitos mínimos. Esta é uma conveniência para administradores que desejam administrar suas infra-estruturas SSL a partir de seus computadores ou através de outro sistema além de seu(s) Servidor(es) da RHN.
Aqui estão os casos nos quais a ferramenta é necessária:
  • Ao atualizar seu certificado público SSL - isto é raro.
  • Ao instalar um RHN Proxy Server versão 3.6 ou mais recente que conecta aos Servidores centrais da RHN como seu serviço principal - o serviço hospedado não pode ser um repositório de sua chave e certificado SSL da CA por motivos de segurança, já que são informações particulares de sua empresa.
  • Ao reconfigurar sua infra-estrutura RHN para usar SSL quando previamente não o fazia.
  • Ao adicionar Servidores Proxy de versões anteriores à 3.6 em sua infra-estrutura RHN.
  • Ao adicionar RHN Satellite Servers múltiplos à sua infra-estrutura RHN - consulte um representante da Red Hat para instruções sobre esta questão.
Aqui estão os casos nos quais a ferramenta não é necessária:
  • Durante a instalação de um RHN Satellite Server - todas as configurações da SSL são definidas durante o processo de instalação. As chaves e certificado SSL são criados e empregados automaticamente.
  • Durante a instalação de um RHN Proxy Server versão 3.6 ou mais recente se conectado a um RHN Satellite Server versão 3.6 ou mais recente como seu serviço principal - o RHN Satellite Server contém todas as informações necessárias da SSL para configurar, criar e empregar as chaves e certificados SSL do RHN Proxy Server.
Os procedimentos de instalação do RHN Satellite Server e do RHN Proxy Server garantem que o certificado público SSL da CA seja empregado no diretório /pub de cada servidor. Este certificado público é usado pelos sistemas cliente para conectar ao Servidor da RHN. Consulte a Seção 3.3, “Empregando o Certificado Público SSL da CA nos Clientes” para mais informações.
Em suma, se a infra-estrutura RHN da sua empresa empregar a última versão do RHN Satellite Server como o serviço principal, provavelmente não será necessário usar a ferramenta. Caso contrário, recomendamos se familiarizar com seu uso.

3.2.1. Geração da SSL Explicada

Os principais benefícios de usar a RHN SSL Maintenance Tool são segurança, flexibilidade e portabilidade. A segurança é oferecida pela criação de chaves e certificados SSL do servidor Web distintos para cada servidor da RHN; todos assinados por um único par de chaves SSL da Autoridade Certificadora SSL criado pela sua empresa. A flexibilidade é oferecida pela habilidade da ferramenta em executar em qualquer máquina que tenha o pacote rhns-certs-tools instalado. A portabilidade reside numa estrutura criada, que pode ser armazenada em qualquer lugar para sua proteção, e então instalada onde a necessidade surgir.
Novamente: se o Servidor RHN principal de sua infra-estrutura RHN é o RHN Satellite Server mais recente, o máximo que você precisa fazer é recuperar sua árvore ssl-build de um arquivo para o diretório /root e utilizar as ferramentas de configuração providas no site do RHN Satellite Server.
Para utilizar a RHN SSL Maintenance Tool da melhor maneira possível, complete as seguintes tarefas relativamente nesta ordem. Consulte as seções remanescentes para mais detalhes:
  1. Instale o pacote rhns-certs-tools num sistema de sua empresa. Talvez, mas não necessariamente, num RHN Satellite Server ou num RHN Proxy Server.
  2. Crie um par de chaves SSL da Autoridade Certificadora para sua empresa e instale o RPM ou o certificado público resultante em todos os sistemas cliente.
  3. Crie um conjunto de chaves SSL do servidor Web para cada um dos Proxies e Satellites a serem empregados e instale os RPMs resultantes nos Servidores da RHN, reiniciando o serviço httpd em seguida: 
     /sbin/service httpd restart
  4. Arquive a árvore de criação (build tree) da SSL - consistindo do diretório de criação principal e todos os sub-diretórios e arquivos - numa mídia removível, como um disquete (floppy). (Os requisitos de espaço em disco são insignificantes.)
  5. Verifique e então armazene aquele arquivo numa localidade segura, como a descrita para backups nas seções Requisitos Adicionais dos guias de instalação do Proxy ou do Satellite.
  6. Memorize e proteja a senha da CA para uso futuro.
  7. Remova a árvore de criação do sistema de criação por razões de segurança, mas somente quando toda a infra-estrutura RHN estiver pronta e configurada.
  8. Quando forem necessários conjuntos adicionais de chaves SSL de servidor Web, recupere a árvore de criação num sistema rodando a RHN SSL Maintenance Tool e repita os passos 3 a 7.