Red Hat Training
A Red Hat training course is available for Red Hat Satellite
3.2. A RHN SSL Maintenance Tool
A Red Hat Network oferece uma ferramenta de linha de comando para facilitar a administração de sua infra-estrutura protegida: a RHN SSL Maintenance Tool, comumente conhecida por seu comando
rhn-ssl-tool
. Esta ferramenta é disponibilizada como parte do pacote rhns-certs-tools
. Este pacote pode ser encontrado nos canais de software do RHN Proxy Server e RHN Satellite Server mais recentes (assim como na ISO do RHN Satellite Server). A RHN SSL Maintenance Tool possibilita a você gerar seu próprio conjunto de chaves SSL da Autoridade Certificadora, assim como os conjuntos de chaves SSL do servidor Web (por vezes chamados de pares de chaves).
Esta é somente uma ferramenta de criação que gera todas as chaves e certificados SSL necessários. Também empacota os arquivos no formato RPM para rápida distribuição e instalação em todas as máquinas cliente. Porém, não as implementa. Esta parte é deixada ao administrador, ou em muitos casos, é automatizada pelo RHN Satellite Server.
Nota
O
rhns-certs-tools
, que contém a rhn-ssl-tool
, pode ser instalado e executado em qualquer sistema Red Hat Enterprise Linux corrente com requisitos mínimos. Esta é uma conveniência para administradores que desejam administrar suas infra-estruturas SSL a partir de seus computadores ou através de outro sistema além de seu(s) Servidor(es) da RHN.
Aqui estão os casos nos quais a ferramenta é necessária:
- Ao atualizar seu certificado público SSL - isto é raro.
- Ao instalar um RHN Proxy Server versão 3.6 ou mais recente que conecta aos Servidores centrais da RHN como seu serviço principal - o serviço hospedado não pode ser um repositório de sua chave e certificado SSL da CA por motivos de segurança, já que são informações particulares de sua empresa.
- Ao reconfigurar sua infra-estrutura RHN para usar SSL quando previamente não o fazia.
- Ao adicionar Servidores Proxy de versões anteriores à 3.6 em sua infra-estrutura RHN.
- Ao adicionar RHN Satellite Servers múltiplos à sua infra-estrutura RHN - consulte um representante da Red Hat para instruções sobre esta questão.
Aqui estão os casos nos quais a ferramenta não é necessária:
- Durante a instalação de um RHN Satellite Server - todas as configurações da SSL são definidas durante o processo de instalação. As chaves e certificado SSL são criados e empregados automaticamente.
- Durante a instalação de um RHN Proxy Server versão 3.6 ou mais recente se conectado a um RHN Satellite Server versão 3.6 ou mais recente como seu serviço principal - o RHN Satellite Server contém todas as informações necessárias da SSL para configurar, criar e empregar as chaves e certificados SSL do RHN Proxy Server.
Os procedimentos de instalação do RHN Satellite Server e do RHN Proxy Server garantem que o certificado público SSL da CA seja empregado no diretório
/pub
de cada servidor. Este certificado público é usado pelos sistemas cliente para conectar ao Servidor da RHN. Consulte a Seção 3.3, “Empregando o Certificado Público SSL da CA nos Clientes” para mais informações.
Em suma, se a infra-estrutura RHN da sua empresa empregar a última versão do RHN Satellite Server como o serviço principal, provavelmente não será necessário usar a ferramenta. Caso contrário, recomendamos se familiarizar com seu uso.
3.2.1. Geração da SSL Explicada
Os principais benefícios de usar a RHN SSL Maintenance Tool são segurança, flexibilidade e portabilidade. A segurança é oferecida pela criação de chaves e certificados SSL do servidor Web distintos para cada servidor da RHN; todos assinados por um único par de chaves SSL da Autoridade Certificadora SSL criado pela sua empresa. A flexibilidade é oferecida pela habilidade da ferramenta em executar em qualquer máquina que tenha o pacote
rhns-certs-tools
instalado. A portabilidade reside numa estrutura criada, que pode ser armazenada em qualquer lugar para sua proteção, e então instalada onde a necessidade surgir.
Novamente: se o Servidor RHN principal de sua infra-estrutura RHN é o RHN Satellite Server mais recente, o máximo que você precisa fazer é recuperar sua árvore
ssl-build
de um arquivo para o diretório /root
e utilizar as ferramentas de configuração providas no site do RHN Satellite Server.
Para utilizar a RHN SSL Maintenance Tool da melhor maneira possível, complete as seguintes tarefas relativamente nesta ordem. Consulte as seções remanescentes para mais detalhes:
- Instale o pacote
rhns-certs-tools
num sistema de sua empresa. Talvez, mas não necessariamente, num RHN Satellite Server ou num RHN Proxy Server. - Crie um par de chaves SSL da Autoridade Certificadora para sua empresa e instale o RPM ou o certificado público resultante em todos os sistemas cliente.
- Crie um conjunto de chaves SSL do servidor Web para cada um dos Proxies e Satellites a serem empregados e instale os RPMs resultantes nos Servidores da RHN, reiniciando o serviço
httpd
em seguida:/sbin/service httpd restart
- Arquive a árvore de criação (build tree) da SSL - consistindo do diretório de criação principal e todos os sub-diretórios e arquivos - numa mídia removível, como um disquete (floppy). (Os requisitos de espaço em disco são insignificantes.)
- Verifique e então armazene aquele arquivo numa localidade segura, como a descrita para backups nas seções Requisitos Adicionais dos guias de instalação do Proxy ou do Satellite.
- Memorize e proteja a senha da CA para uso futuro.
- Remova a árvore de criação do sistema de criação por razões de segurança, mas somente quando toda a infra-estrutura RHN estiver pronta e configurada.
- Quando forem necessários conjuntos adicionais de chaves SSL de servidor Web, recupere a árvore de criação num sistema rodando a RHN SSL Maintenance Tool e repita os passos 3 a 7.