Red Hat Training
A Red Hat training course is available for Red Hat Satellite
3.2. rhn-ssl-tool
Для облегчения управления инфраструктурой Red Hat Network предоставляет утилиту
rhn-ssl-tool
, которая входит в состав пакета rhns-certs-tools
. Этот пакет может быть получен из канала RHN Proxy и Satellite или из ISO-образа RHN Satellite. rhn-ssl-tool
позволяет создать собственную пару ключей CA SSL, а также наборы ключей SSL веб-сервера.
Эта утилита создаст необходимые ключи и сертификаты, запакует файлы в RPM для последующей передачи и установки в системах клиентов. Установка осуществляется администратором или же автоматизируется сервером Satellite.
Примечание
Пакет
rhns-certs-tools
может быть установлен и исполнен в любой системе, удовлетворяющей минимальным требованиям. Это позволяет управлять инфраструктурой SSL из любой системы, а не только с сервера RHN.
Ситуации, в которых может пригодиться эта утилита:
- При обновлении открытого сертификата CA, что случается довольно редко.
- При установке RHN Proxy 3.6 или более поздних версий, который будет подключаться к центральным серверам RHN, так как служба hosted не может хранить сертификат и ключ CA SSL в силу того, что они принадлежат только вашей организации.
- При начальной настройке SSL в вашей инфраструктуре RHN.
- При добавлении в инфраструктуру RHN Proxy, версия которого предшествует 3.6.
- При добавлении в инфраструктуру нескольких серверов RHN Satellite. Прежде чем приступить, проконсультируйтесь с представителем Red Hat.
Примеры ситуаций, когда в утилите нет необходимости:
- В процессе установки RHN Satellite, когда осуществляются все настройки SSL. Сертификат и ключи SSL будут созданы и применены автоматически.
- В процессе установки RHN Proxy 3.6 и более поздних версий, который будет подключаться к RHN Satellite 3.6+. RHN Satellite включает информацию SSL, необходимую для конфигурации, сборки и применения сертификатов и ключей SSL на прокси-сервере.
В ходе установки обоих типов серверов открытый сертификат CA SSL будет сохранен в каталог
/pub
на сервере. Этот сертификат используется клиентами для подключения к серверу RHN (см. Раздел 3.3, «Установка открытых сертификатов CA в системах клиентов»).
Если в инфраструктуре организации развернута последняя версия RHN Satellite, то, возможно, вам и не понадобится эта утилита. В противном случае рекомендуется ознакомиться с ее работой.
3.2.1. Генерация SSL
Основными достоинствами rhn-ssl-tool является безопасность, гибкость использования и мобильность. Безопасность достигается за счет создания отдельных SSL-ключей и сертификатов для каждого сервера RHN и их подписи с помощью одной пары ключей CA. Под гибкостью подразумевается возможность выполнения утилиты на любой машине, где установлен пакет
rhns-certs-tools
. Наконец, мобильность заключается в том, что структура сборки может быть сохранена в произвольном месте и установлена позднее.
Наконец, при наличии последней версии RHN Satellite может понадобиться извлечь структуру
ssl-build
из архива в каталог /root
и воспользоваться средствами конфигурации сайта RHN Satellite.
Чтобы обеспечить максимальную эффективность работы этой утилиты, следуйте приведенной далее последовательности действий.
- Установите
rhns-certs-tools
в системе в пределах вашей организации, не обязательно на RHN Proxy или Satellite. - Создайте пару ключей CA SSL и установите соответствующий пакет RPM или открытый сертификат во всех системах клиентов.
- Создайте набор ключей SSL для каждого RHN Proxy и Satellite и установите соответствующие пакеты RPM на серверах RHN. Перезапустите
httpd
:/sbin/service httpd restart
- Создайте архив дерева сборки SSL, включающего каталог сборки, а также все подкаталоги и файлы, включая съемные носители, такие как гибкие диски. При этом требования дискового пространства не имеют значения.
- Проверьте целостность архива и сохраните его в безопасном месте. Возможные расположения описаны в секции Дополнительные требования руководств по установке прокси-сервера и Satellite.
- Запишите пароль CA и храните его в безопасном месте.
- В целях безопасности удалите дерево сборки из системы, но только после завершения настройки инфраструктуры RHN.
- Если требуются дополнительные наборы ключей SSL, восстановите дерево сборки с помощью программы поддержки SSL и повторите шаги с 3 по 7.