Red Hat Training
A Red Hat training course is available for Red Hat Satellite
3.2. RHN SSL Maintenance Tool
Red Hat Network 提供了可简化您安全构架管理的命令行工具:RHN SSL Maintenance Tool,通常使用的命令为
rhn-ssl-tool
。这个工具是 rhns-certs-tools
软件包的一部分。在最新 RHN Proxy Server 和 RHN Satellite Server(也可在RHN Satellite Server ISO 中)的软件频道中找到此软件包。RHN SSL Maintenance Tool 可允许您生成您自己的认证机构 SSL 密钥对以及网页服务器 SSL 密钥组(有时也称密钥对)。
这个工具只是一个构建工具。它可生成所有需要的 SSL 密钥和证书。它还可将文件打包为 RPM 格式以便迅速将其发布和安装到所有客户机中。但它不能部署它们,这个任务留给了管理员,或者在很多情况下由 RHN Satellite Server 自动完成。
注意
rhns-certs-tools
中包含 rhn-ssl-tool
,在目前任意最低配置的红帽企业版 Linux 系统中都可安装并运行。这就为想要在其工作站或者 RHN 以外的其它系统中管理其 SSL 构架的管理员提供了方便。
在以下情况下需要此工具:
- 在更新您的 CA 公共证书时 - 这种情况很少见。
- 安装 RHN Proxy Server 3.6 或者更新的版本,并将其连接到中央 RHN 服务器作为其最高级别服务时 - 出于安全考虑,托管服务不能作为您机构专用的 CA SSL 密钥和证书库使用。
- 将您的 RHN 构架重新配置为使用 SSL 时(之前没有使用 SSL)。
- 将 3.6 以前版本的 RHN Proxy Server 添加到您的 RHN 系统。
- 将多个 RHN Satellite Server 添加到您的 RHN 系统中 - 请咨询 Red Hat 客户服务代表来获得帮助。
以下是不需要使用这个工具的情况:
- 安装 RHN Satellite Server - 所有的 SSL 设置都在安装的过程中被配置。SSL 密钥和证书会被自动地构建并被实施。
- 安装 RHN Proxy Server 版本 3.6 或更新版的版本,这个系统提供最高级别的服务并连接到 RHN Satellite Server 版本 3.6 或更新的版本 - RHN Satellite Server 包括了配置、构建和实施 RHN Proxy Server 需要的所有 SSL 密钥和证书的信息。
安装 RHN Satellite Server 和 RHN Proxy Server 的过程保证了将 CA SSL 公共证书部署到每个服务器的
/pub
目录中。这个公共证书被客户端用来与 RHN 服务器进行连接。请参阅 第 3.3 节 “在客户端中部署 CA SSL 公共证书” 来获得详细的信息。
简单地说,如果您的 RHN 系统使用了最新版本的 RHN Satellite Server 作为最高级别的服务,您可能并不太需要使用这个工具。否则,您可能会需要熟悉这个工具的使用。
3.2.1. 创建 SSL 详解
使用 RHN SSL Maintenance Tool 主要优点是安全、灵活以及它的可移植性。通过为每个 RHN 服务器创建不同的 Web 服务器 SSL 密钥和证书(使用您的机构创建的证书管理机构(CA)SSL 密钥对进行签注),可以实现系统的安全性。工具程序可以在任何安装了
rhns-certs-tools
软件包的机器上工作,这就为系统提供了灵活性。而构建结构可以被安全地保存在任何地方并可以在任何需要它的地方进行安装,这就实现了它的可移植性。
再次强调,如果您的系统的最高级 RHN 服务器是最新版本的 RHN Satellite Server,您需要做的事情可能只是通过一个归档将您的
ssl-build
树恢复到 /root
目录并利用 RHN Satellite Server 网站所提供的配置工具。
要更好地使用 RHN SSL Maintenance Tool,以这个顺序完成以下的任务。请阅读接下来的章节来获得详细的信息:
- 在您机构内的系统中(可能是 RHN Satellite Server 或 RHN Proxy Server,也可能不是)安装
rhns-certs-tools
软件包。 - 为您的机构创建一个单一的认证机构 SSL 密钥对,并在所有客户端系统中安装创建的 RPM 或公共证书。
- 在每个需要使用的代理服务器和 Satellite 服务器上创建一个 Web 服务器 SSL 密钥集并在 RHN 服务器上安装获得的 RPM,重新启动
httpd
服务:/sbin/service httpd restart
- 将 SSL 构建树 归档(包括主构建目录以及所有的子目录和文件)到可移动的介质上,如软盘。(并不需要太多的磁盘空间。)
- 检查这个归档的完整性并将其存放在一个安全的地方,如在《Proxy 安装指南》或《Satellite 安装指南》中的<附加要求>章节中所介绍的备份方法中使用的位置。
- 为今后的使用记录和保管 CA 密码。
- 为了安全的目的,从构建系统中删除构建树。请注意,只有在整个 RHN 系统被创建好并被配置完成后才能执行这个工作。
- 当需要额外的 Web 服务器 SSL 密钥时,通过运行 RHN SSL Maintenance Tool 并重复步骤 3 到步骤 7 在系统中恢复构建树。