Red Hat Training

A Red Hat training course is available for Red Hat Satellite

3.2. rhn-ssl-tool

Для облегчения управления инфраструктурой Red Hat Network предоставляет утилиту rhn-ssl-tool, которая входит в состав пакета rhns-certs-tools. Этот пакет может быть получен из канала RHN Proxy и Satellite или из ISO-образа RHN Satellite. rhn-ssl-tool позволяет создать собственную пару ключей CA SSL, а также наборы ключей SSL веб-сервера.
Эта утилита создаст необходимые ключи и сертификаты, запакует файлы в RPM для последующей передачи и установки в системах клиентов. Установка осуществляется администратором или же автоматизируется сервером Satellite.

Примечание

Пакет rhns-certs-tools может быть установлен и исполнен в любой системе, удовлетворяющей минимальным требованиям. Это позволяет управлять инфраструктурой SSL из любой системы, а не только с сервера RHN.
Ситуации, в которых может пригодиться эта утилита:
  • При обновлении открытого сертификата CA, что случается довольно редко.
  • При установке RHN Proxy 3.6 или более поздних версий, который будет подключаться к центральным серверам RHN, так как служба hosted не может хранить сертификат и ключ CA SSL в силу того, что они принадлежат только вашей организации.
  • При начальной настройке SSL в вашей инфраструктуре RHN.
  • При добавлении в инфраструктуру RHN Proxy, версия которого предшествует 3.6.
  • При добавлении в инфраструктуру нескольких серверов RHN Satellite. Прежде чем приступить, проконсультируйтесь с представителем Red Hat.
Примеры ситуаций, когда в утилите нет необходимости:
  • В процессе установки RHN Satellite, когда осуществляются все настройки SSL. Сертификат и ключи SSL будут созданы и применены автоматически.
  • В процессе установки RHN Proxy 3.6 и более поздних версий, который будет подключаться к RHN Satellite 3.6+. RHN Satellite включает информацию SSL, необходимую для конфигурации, сборки и применения сертификатов и ключей SSL на прокси-сервере.
В ходе установки обоих типов серверов открытый сертификат CA SSL будет сохранен в каталог /pub на сервере. Этот сертификат используется клиентами для подключения к серверу RHN (см. Раздел 3.3, «Установка открытых сертификатов CA в системах клиентов»).
Если в инфраструктуре организации развернута последняя версия RHN Satellite, то, возможно, вам и не понадобится эта утилита. В противном случае рекомендуется ознакомиться с ее работой.

3.2.1. Генерация SSL

Основными достоинствами rhn-ssl-tool является безопасность, гибкость использования и мобильность. Безопасность достигается за счет создания отдельных SSL-ключей и сертификатов для каждого сервера RHN и их подписи с помощью одной пары ключей CA. Под гибкостью подразумевается возможность выполнения утилиты на любой машине, где установлен пакет rhns-certs-tools. Наконец, мобильность заключается в том, что структура сборки может быть сохранена в произвольном месте и установлена позднее.
Наконец, при наличии последней версии RHN Satellite может понадобиться извлечь структуру ssl-build из архива в каталог /root и воспользоваться средствами конфигурации сайта RHN Satellite.
Чтобы обеспечить максимальную эффективность работы этой утилиты, следуйте приведенной далее последовательности действий.
  1. Установите rhns-certs-tools в системе в пределах вашей организации, не обязательно на RHN Proxy или Satellite.
  2. Создайте пару ключей CA SSL и установите соответствующий пакет RPM или открытый сертификат во всех системах клиентов.
  3. Создайте набор ключей SSL для каждого RHN Proxy и Satellite и установите соответствующие пакеты RPM на серверах RHN. Перезапустите httpd: 
     /sbin/service httpd restart
  4. Создайте архив дерева сборки SSL, включающего каталог сборки, а также все подкаталоги и файлы, включая съемные носители, такие как гибкие диски. При этом требования дискового пространства не имеют значения.
  5. Проверьте целостность архива и сохраните его в безопасном месте. Возможные расположения описаны в секции Дополнительные требования руководств по установке прокси-сервера и Satellite.
  6. Запишите пароль CA и храните его в безопасном месте.
  7. В целях безопасности удалите дерево сборки из системы, но только после завершения настройки инфраструктуры RHN.
  8. Если требуются дополнительные наборы ключей SSL, восстановите дерево сборки с помощью программы поддержки SSL и повторите шаги с 3 по 7.