11.4. 安装并运行制造服务器

fdo-manufacturing-server RPM 软件包使您能够运行 FDO 协议的制造服务器组件。它还存储其他组件,如所有者凭证、制造商密钥以及有关制造会话的信息。在设备安装过程中,制造服务器为特定设备生成设备凭证,包括 GUID、rendezvous 信息和其他元数据。在过程的后期,设备使用这个 rendezvous 信息联系 Rendezvous 服务器。

重要

红帽提供了 fdo-manufacturing-server 工具作为技术预览功能,应在安全网络上运行,因为红帽产品服务级别协议(SLA)不支持技术预览功能,且可能无法正常工作。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。如需有关 技术预览功能支持范围 的信息,请参阅红帽客户门户网站中的技术预览功能支持范围。

要安装 manufacturing 服务器 RPM 软件包,请完成以下步骤:

流程

  1. 安装 fdo-admin-cli 软件包: 

    # dnf install -y fdo-admin-cli

  2. 检查是否安装了 fdo-manufacturing-server RPM 软件包: 

    $ rpm -qa | grep fdo-manufacturing-server --refresh

  3. 检查是否已正确安装了这些文件: 

    $ ls /usr/share/doc/fdo

    您可以看到以下输出: 

    Output:
manufacturing-server.yml
owner-onboarding-server.yml
rendezvous-info.yml
rendezvous-server.yml
serviceinfo-api-server.yml

  4. 可选:检查每个文件的内容,例如: 

    $ cat /usr/share/doc/fdo/manufacturing-server.yml

  5. 配置制造服务器。您必须提供以下信息:

    • 制造服务器 URL
    • Rendezvous 服务器的 IP 地址或 DNS 名称

    • 您生成的密钥和证书的路径。请参阅 生成密钥和证书

      您可以在 /usr/share/doc/fdo/manufacturing-server.yml 目录中找到制造服务器配置文件的示例。以下是创建并保存在 /etc/fdo 目录中的一个 manufacturing server.yml 示例。它包含您创建的目录、证书、密钥的路径,会合服务器 IP 地址和默认端口。 

      session_store_driver:
  Directory:
    path: /etc/fdo/stores/manufacturing_sessions/
ownership_voucher_store_driver:
  Directory:
    path: /etc/fdo/stores/owner_vouchers
public_key_store_driver:
  Directory:
    path: /etc/fdo/stores/manufacturer_keys
bind: "0.0.0.0:8080"
protocols:
  plain_di: false
  diun:
    mfg_string_type: SerialNumber
    key_type: SECP384R1
    allowed_key_storage_types:
      - Tpm
      - FileSystem
    key_path: /etc/fdo/keys/diun_key.der
    cert_path: /etc/fdo/keys/diun_cert.pem
rendezvous_info:
  - deviceport: 8082
    ip_address: 192.168.122.99
    ownerport: 8082
    protocol: http
manufacturing:
  manufacturer_cert_path: /etc/fdo/keys/manufacturer_cert.pem
  device_cert_ca_private_key: /etc/fdo/keys/device_ca_key.der
  device_cert_ca_chain: /etc/fdo/keys/device_ca_cert.pem
  owner_cert_path: /etc/fdo/keys/owner_cert.pem
  manufacturer_private_key: /etc/fdo/keys/manufacturer_key.der

  6. 启动制造服务器。

    1. 检查 systemd 单元文件是否在服务器中: 

      # systemctl list-unit-files | grep fdo | grep manufacturing
fdo-manufacturing-server.service disabled disabled

    2. 启用并启动制造服务器。 

      # systemctl enable --now fdo-manufacturing-server.service

    3. 在防火墙中打开默认端口: 

      # firewall-cmd --add-port=8080/tcp --permanent
# systemctl restart firewalld

    4. 确保该服务正在侦听端口 8080: 

      # ss -ltn
  7. 使用简化的安装程序将 RHEL for Edge 安装到您的系统上。请参阅 构建简化的安装程序镜像以提供 RHEL for Edge 镜像

其他资源