Red Hat Training

A Red Hat training course is available for Red Hat Satellite

3.2. RHN SSL Maintenance Tool

Red Hat Network 提​​​供​​​了​​​可​​​简​​​化​​​您​​​安​​​全​​​构​​​架​​​管​​​理​​​的​​​命​​​令​​​行​​​工​​​具​​​:RHN SSL Maintenance Tool,通​​​常​​​使​​​用​​​的​​​命​​​令​​​为​​​ rhn-ssl-tool。​​​这​​​个​​​工​​​具​​​是​​​ rhns-certs-tools 软​​​件​​​包​​​的​​​一​​​部​​​分​​​。​​​在​​​最​​​新​​​ RHN Proxy Server 和​​​ RHN Satellite Server(也​​​可​​​在​​​RHN Satellite Server ISO 中​​​)的​​​软​​​件​​​频​​​道​​​中​​​找​​​到​​​此​​​软​​​件​​​包​​​。​​​RHN SSL Maintenance Tool 可​​​允​​​许​​​您​​​生​​​成​​​您​​​自​​​己​​​的​​​认​​​证​​​机​​​构​​​ SSL 密​​​钥​​​对​​​以​​​及​​​网​​​页​​​服​​​务​​​器​​​ SSL 密​​​钥​​​组​​​(有​​​时​​​也​​​称​​​密​​​钥​​​对​​​)。​​​
这​​​个​​​工​​​具​​​只​​​是​​​一​​​个​​​构​​​建​​​工​​​具​​​。​​​它​​​可​​​生​​​成​​​所​​​有​​​需​​​要​​​的​​​ SSL 密​​​钥​​​和​​​证​​​书​​​。​​​它​​​还​​​可​​​将​​​文​​​件​​​打​​​包​​​为​​​ RPM 格​​​式​​​以​​​便​​​迅​​​速​​​将​​​其​​​发​​​布​​​和​​​安​​​装​​​到​​​所​​​有​​​客​​​户​​​机​​​中​​​。​​​但​​​它​​​不​​​能​​​部​​​署​​​它​​​们​​​,这​​​个​​​任​​​务​​​留​​​给​​​了​​​管​​​理​​​员​​​,或​​​者​​​在​​​很​​​多​​​情​​​况​​​下​​​由​​​ RHN Satellite Server 自​​​动​​​完​​​成​​​。​​​

注意

rhns-certs-tools 中​​​包​​​含​​​ rhn-ssl-tool,在​​​目​​​前​​​任​​​意​​​最​​​低​​​配​​​置​​​的​​​红​​​帽​​​企​​​业​​​版​​​ Linux 系​​​统​​​中​​​都​​​可​​​安​​​装​​​并​​​运​​​行​​​。​​​这​​​就​​​为​​​想​​​要​​​在​​​其​​​工​​​作​​​站​​​或​​​者​​​ RHN 以​​​外​​​的​​​其​​​它​​​系​​​统​​​中​​​管​​​理​​​其​​​ SSL 构​​​架​​​的​​​管​​​理​​​员​​​提​​​供​​​了​​​方​​​便​​​。​​​
在​​​以​​​下​​​情​​​况​​​下​​​需​​​要​​​此​​​工​​​具​​​:
  • 在​​​更​​​新​​​您​​​的​​​ CA 公​​​共​​​证​​​书​​​时​​​ - 这​​​种​​​情​​​况​​​很​​​少​​​见​​​。​​​
  • 安​​​装​​​ RHN Proxy Server 3.6 或​​​者​​​更​​​新​​​的​​​版​​​本​​​,并​​​将​​​其​​​连​​​接​​​到​​​中​​​央​​​ RHN 服​​​务​​​器​​​作​​​为​​​其​​​最​​​高​​​级​​​别​​​服​​​务​​​时​​​ - 出​​​于​​​安​​​全​​​考​​​虑​​​,托​​​管​​​服​​​务​​​不​​​能​​​作​​​为​​​您​​​机​​​构​​​专​​​用​​​的​​​ CA SSL 密​​​钥​​​和​​​证​​​书​​​库​​​使​​​用​​​。​​​
  • 将​​​您​​​的​​​ RHN 构​​​架​​​重​​​新​​​配​​​置​​​为​​​使​​​用​​​ SSL 时​​​(之​​​前​​​没​​​有​​​使​​​用​​​ SSL)。​​​
  • 将​​​ 3.6 以​​​前​​​版​​​本​​​的​​​ RHN Proxy Server 添​​​加​​​到​​​您​​​的​​​ RHN 系​​​统​​​。​​​
  • 将​​​多​​​个​​​ RHN Satellite Server 添​​​加​​​到​​​您​​​的​​​ RHN 系​​​统​​​中​​​ - 请​​​咨​​​询​​​ Red Hat 客​​​户​​​服​​​务​​​代​​​表​​​来​​​获​​​得​​​帮​​​助​​​。​​​
以​​​下​​​是​​​不​​​需​​​要​​​使​​​用​​​这​​​个​​​工​​​具​​​的​​​情​​​况​​​:
  • 安​​​装​​​ RHN Satellite Server - 所​​​有​​​的​​​ SSL 设​​​置​​​都​​​在​​​安​​​装​​​的​​​过​​​程​​​中​​​被​​​配​​​置​​​。​​​SSL 密​​​钥​​​和​​​证​​​书​​​会​​​被​​​自​​​动​​​地​​​构​​​建​​​并​​​被​​​实​​​施​​​。​​​
  • 安​​​装​​​ RHN Proxy Server 版​​​本​​​ 3.6 或​​​更​​​新​​​版​​​的​​​版​​​本​​​,这​​​个​​​系​​​统​​​提​​​供​​​最​​​高​​​级​​​别​​​的​​​服​​​务​​​并​​​连​​​接​​​到​​​ RHN Satellite Server 版​​​本​​​ 3.6 或​​​更​​​新​​​的​​​版​​​本​​​ - RHN Satellite Server 包​​​括​​​了​​​配​​​置​​​、​​​构​​​建​​​和​​​实​​​施​​​ RHN Proxy Server 需​​​要​​​的​​​所​​​有​​​ SSL 密​​​钥​​​和​​​证​​​书​​​的​​​信​​​息​​​。​​​
安​​​装​​​ RHN Satellite Server 和​​​ RHN Proxy Server 的​​​过​​​程​​​保​​​证​​​了​​​将​​​ CA SSL 公​​​共​​​证​​​书​​​部​​​署​​​到​​​每​​​个​​​服​​​务​​​器​​​的​​​ /pub 目​​​录​​​中​​​。​​​这​​​个​​​公​​​共​​​证​​​书​​​被​​​客​​​户​​​端​​​用​​​来​​​与​​​ RHN 服​​​务​​​器​​​进​​​行​​​连​​​接​​​。​​​请​​​参​​​阅​​​ 第 3.3 节 “在​​​客​​​户​​​端​​​中​​​部​​​署​​​ CA SSL 公​​​共​​​证​​​书​​​” 来​​​获​​​得​​​详​​​细​​​的​​​信​​​息​​​。​​​
简​​​单​​​地​​​说​​​,如​​​果​​​您​​​的​​​ RHN 系​​​统​​​使​​​用​​​了​​​最​​​新​​​版​​​本​​​的​​​ RHN Satellite Server 作​​​为​​​最​​​高​​​级​​​别​​​的​​​服​​​务​​​,您​​​可​​​能​​​并​​​不​​​太​​​需​​​要​​​使​​​用​​​这​​​个​​​工​​​具​​​。​​​否​​​则​​​,您​​​可​​​能​​​会​​​需​​​要​​​熟​​​悉​​​这​​​个​​​工​​​具​​​的​​​使​​​用​​​。​​​

3.2.1. 创​​​建​​​ SSL 详​​​解​​​

使​​​用​​​ RHN SSL Maintenance Tool 主​​​要​​​优​​​点​​​是​​​安​​​全​​​、​​​灵​​​活​​​以​​​及​​​它​​​的​​​可​​​移​​​植​​​性​​​。​​​通​​​过​​​为​​​每​​​个​​​ RHN 服​​​务​​​器​​​创​​​建​​​不​​​同​​​的​​​ Web 服​​​务​​​器​​​ SSL 密​​​钥​​​和​​​证​​​书​​​(使​​​用​​​您​​​的​​​机​​​构​​​创​​​建​​​的​​​证​​​书​​​管​​​理​​​机​​​构​​​(CA)SSL 密​​​钥​​​对​​​进​​​行​​​签​​​注​​​),可​​​以​​​实​​​现​​​系​​​统​​​的​​​安​​​全​​​性​​​。​​​工​​​具​​​程​​​序​​​可​​​以​​​在​​​任​​​何​​​安​​​装​​​了​​​ rhns-certs-tools 软​​​件​​​包​​​的​​​机​​​器​​​上​​​工​​​作​​​,这​​​就​​​为​​​系​​​统​​​提​​​供​​​了​​​灵​​​活​​​性​​​。​​​而​​​构​​​建​​​结​​​构​​​可​​​以​​​被​​​安​​​全​​​地​​​保​​​存​​​在​​​任​​​何​​​地​​​方​​​并​​​可​​​以​​​在​​​任​​​何​​​需​​​要​​​它​​​的​​​地​​​方​​​进​​​行​​​安​​​装​​​,这​​​就​​​实​​​现​​​了​​​它​​​的​​​可​​​移​​​植​​​性​​​。​​​
再​​​次​​​强​​​调​​​,如​​​果​​​您​​​的​​​系​​​统​​​的​​​最​​​高​​​级​​​ RHN 服​​​务​​​器​​​是​​​最​​​新​​​版​​​本​​​的​​​ RHN Satellite Server,您​​​需​​​要​​​做​​​的​​​事​​​情​​​可​​​能​​​只​​​是​​​通​​​过​​​一​​​个​​​归​​​档​​​将​​​您​​​的​​​ ssl-build 树​​​恢​​​复​​​到​​​ /root 目​​​录​​​并​​​利​​​用​​​ RHN Satellite Server 网​​​站​​​所​​​提​​​供​​​的​​​配​​​置​​​工​​​具​​​。​​​
要​​​更​​​好​​​地​​​使​​​用​​​ RHN SSL Maintenance Tool,以​​​这​​​个​​​顺​​​序​​​完​​​成​​​以​​​下​​​的​​​任​​​务​​​。​​​请​​​阅​​​读​​​接​​​下​​​来​​​的​​​章​​​节​​​来​​​获​​​得​​​详​​​细​​​的​​​信​​​息​​​:
  1. 在​​​您​​​机​​​构​​​内​​​的​​​系​​​统​​​中​​​(可​​​能​​​是​​​ RHN Satellite Server 或​​​ RHN Proxy Server,也​​​可​​​能​​​不​​​是​​​)安​​​装​​​ rhns-certs-tools 软​​​件​​​包​​​。​​​
  2. 为​​​您​​​的​​​机​​​构​​​创​​​建​​​一​​​个​​​单​​​一​​​的​​​认​​​证​​​机​​​构​​​ SSL 密​​​钥​​​对​​​,并​​​在​​​所​​​有​​​客​​​户​​​端​​​系​​​统​​​中​​​安​​​装​​​创​​​建​​​的​​​ RPM 或​​​公​​​共​​​证​​​书​​​。​​​
  3. 在​​​每​​​个​​​需​​​要​​​使​​​用​​​的​​​代​​​理​​​服​​​务​​​器​​​和​​​ Satellite 服​​​务​​​器​​​上​​​创​​​建​​​一​​​个​​​ Web 服​​​务​​​器​​​ SSL 密​​​钥​​​集​​​并​​​在​​​ RHN 服​​​务​​​器​​​上​​​安​​​装​​​获​​​得​​​的​​​ RPM,重​​​新​​​启​​​动​​​ httpd 服​​​务​​​: 
     /sbin/service httpd restart
  4. 将​​​ SSL 构​​​建​​​树​​​ 归​​​档​​​(包​​​括​​​主​​​构​​​建​​​目​​​录​​​以​​​及​​​所​​​有​​​的​​​子​​​目​​​录​​​和​​​文​​​件​​​)到​​​可​​​移​​​动​​​的​​​介​​​质​​​上​​​,如​​​软​​​盘​​​。​​​(并​​​不​​​需​​​要​​​太​​​多​​​的​​​磁​​​盘​​​空​​​间​​​。​​​)
  5. 检​​​查​​​这​​​个​​​归​​​档​​​的​​​完​​​整​​​性​​​并​​​将​​​其​​​存​​​放​​​在​​​一​​​个​​​安​​​全​​​的​​​地​​​方​​​,如​​​在​​​《​​​Proxy 安​​​装​​​指​​​南​​​》​​​或​​​《​​​Satellite 安​​​装​​​指​​​南​​​》​​​中​​​的​​​<附​​​加​​​要​​​求​​​>章​​​节​​​中​​​所​​​介​​​绍​​​的​​​备​​​份​​​方​​​法​​​中​​​使​​​用​​​的​​​位​​​置​​​。​​​
  6. 为​​​今​​​后​​​的​​​使​​​用​​​记​​​录​​​和​​​保​​​管​​​ CA 密​​​码​​​。​​​
  7. 为​​​了​​​安​​​全​​​的​​​目​​​的​​​,从​​​构​​​建​​​系​​​统​​​中​​​删​​​除​​​构​​​建​​​树​​​。​​​请​​​注​​​意​​​,只​​​有​​​在​​​整​​​个​​​ RHN 系​​​统​​​被​​​创​​​建​​​好​​​并​​​被​​​配​​​置​​​完​​​成​​​后​​​才​​​能​​​执​​​行​​​这​​​个​​​工​​​作​​​。​​​
  8. 当​​​需​​​要​​​额​​​外​​​的​​​ Web 服​​​务​​​器​​​ SSL 密​​​钥​​​时​​​,通​​​过​​​运​​​行​​​ RHN SSL Maintenance Tool 并​​​重​​​复​​​步​​​骤​​​ 3 到​​​步​​​骤​​​ 7 在​​​系​​​统​​​中​​​恢​​​复​​​构​​​建​​​树​​​。​​​