附录 C. Red Hat Enterprise Virtualization 和 SSL
C.1. 替换 Red Hat Enterprise Virtualization Manager SSL 证书
警告
不要修改
/etc/pki 目录和它的所有子目录的访问权限和所有者权限。/etc/pki 和 /etc/pki/ovirt-engine 目录的权限必须保持为默认的值(755)。
当用户通过 HTTPS 连接到您的 Red Hat Enterprise Virtualization Manager 时,您希望使用由商业证书授权机构为您签发的证书。
注意
使用商业证书授权机构签发的证书进行 https 连接,并不会影响到 Manager 和主机间进行验证时所使用的证书,它们仍然使用由 Manager 产生的自己签发的证书来进行验证。
前提条件
您需要一个商业证书授权机构签发的 PEM 格式的证书、一个 .nokey 文件和一个 .cer 文件。.nokey 和 .cer 文件有时以 P12 格式的证书密钥被发放。
这个步骤假设您已经有了 P12 格式的证书密钥。
过程 C.1. 替换 Red Hat Enterprise Virtualization Manager Apache SSL 证书
- Manager 已经被配置为使用
/etc/pki/ovirt-engine/apache-ca.pem(到/etc/pki/ovirt-engine/ca.pem的一个符号链接)。删除这个符号链接。# rm /etc/pki/ovirt-engine/apache-ca.pem
- 把您的商业证书授权机构签发的证书保存为
/etc/pki/ovirt-engine/apache-ca.pem。证书链必须包括根证书,它的顺序非常重要,需要是从最后一个中间证书到根证书。mv YOUR-3RD-PARTY-CERT.pem /etc/pki/ovirt-engine/apache-ca.pem
- 把您的 P12 文件移到
/etc/pki/ovirt-engine/keys/apache.p12。 - 从文件中展开密钥。
# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /etc/pki/ovirt-engine/keys/apache.key.nopass
- 从文件中展开证书
# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /etc/pki/ovirt-engine/certs/apache.cer
- 重新启动 Apache 服务器。
# service httpd restart
当用户使用 https 连接到您的门户上时,不会再出现质疑您所使用的证书的权威性的警告信息。
重要
替换证书可能会导致日志收集程序出现问题(如 https://access.redhat.com/solutions/458713 所述)。为了避免问题的出现,编辑日志收集程序的配置:
- 从 CA 服务器输出 CA 证书,把它复制到 Red Hat Enterprise Virtualization Manager 服务器。
- 通过把一下内容添加到
/etc/ovirt-engine/logcollector.conf文件来把日志收集程序指向新的位置:cert-file=/path/to/new/CA/file
