4.12. 使用自定义 SSL 证书配置 Satellite 服务器

默认情况下,Red Hat Satellite 使用自签名 SSL 证书来启用 Satellite 服务器、外部 Capsule 服务器和所有主机之间的加密通信。如果您无法使用 Satellite 自签名证书,您可以将 Satellite 服务器配置为使用由外部证书颁发机构签名的 SSL 证书。

要使用自定义证书配置 Satellite 服务器,请完成以下步骤:

  1. 第 4.12.1 节 “为 Satellite 服务器创建自定义 SSL 证书”
  2. 第 4.12.2 节 “将自定义 SSL 证书部署到 Satellite 服务器”
  3. 第 4.12.3 节 “将自定义 SSL 证书部署到主机”
  4. 如果您将外部 Capsule 服务器注册到 Satellite 服务器,则必须使用自定义 SSL 证书配置它们。相同的证书颁发机构必须为 Satellite 服务器和 Capsule 服务器签名证书。如需更多信息,请参阅 安装 Capsule 服务器 中的 使用自定义 SSL 证书配置 Capsule 服务器

4.12.1. 为 Satellite 服务器创建自定义 SSL 证书

使用这个流程为 Satellite 服务器创建自定义 SSL 证书。如果您已经有 Satellite 服务器的自定义 SSL 证书,请跳过此流程。

当您使用自定义证书配置 Satellite 服务器时,请注意以下几点:

  • 您必须为 SSL 证书使用 Privacy-Enhanced Mail (PEM)编码。
  • 您不能将相同的证书用于 Satellite 服务器和 Capsule 服务器。
  • 相同的证书颁发机构必须为 Satellite 服务器和 Capsule 服务器签名证书。

流程

  1. 要存储所有源证书文件,请创建一个只能被 root 用户访问的目录。

    # mkdir /root/satellite_cert
  2. 创建为证书签名请求(CSR)签名的私钥。

    请注意,私钥必须是未加密的。如果您使用密码保护的私钥,请删除私钥密码。

    如果您已拥有这个 Satellite 服务器的私钥,请跳过这一步。

    # openssl genrsa -out /root/satellite_cert/satellite_cert_key.pem 4096
  3. 为证书签名请求(CSR)创建 /root/satellite_cert/openssl.cnf 配置文件,并包含以下内容:

    [ req ]
    req_extensions = v3_req
    distinguished_name = req_distinguished_name
    x509_extensions = usr_cert
    prompt = no
    
    [ req_distinguished_name ] 1
    C  = Country Name (2 letter code)
    ST = State or Province Name (full name)
    L  = Locality Name (eg, city)
    O  = Organization Name (eg, company)
    OU = The division of your organization handling the certificate
    CN = satellite.example.com 2
    
    [ v3_req ]
    basicConstraints = CA:FALSE
    keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
    extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
    subjectAltName = @alt_names
    
    [ usr_cert ]
    basicConstraints=CA:FALSE
    nsCertType = client, server, email
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment
    extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
    nsComment = "OpenSSL Generated Certificate"
    subjectKeyIdentifier=hash
    authorityKeyIdentifier=keyid,issuer
    
    [ alt_names ]
    DNS.1 = satellite.example.com 3
    1
    [ req_distinguished_name ] 部分中,输入有关您的机构的信息。
    2
    设置证书的 Common Name CN,以匹配 Satellite 服务器的完全限定域名(FQDN)。若要确认 FQDN,在该 Satellite 服务器上输入 hostname -f 命令。这是确保 katello-certs-check 命令正确验证证书所必需的。
    3
    设置 Subject Alternative Name (SAN) DNS.1,以匹配服务器的完全限定域名(FQDN)。
  4. 生成证书签名请求(CSR):

    # openssl req -new \
    -key /root/satellite_cert/satellite_cert_key.pem \ 1
    -config /root/satellite_cert/openssl.cnf \ 2
    -out /root/satellite_cert/satellite_cert_csr.pem 3
    1
    私钥的路径。
    2
    配置文件的路径。
    3
    要生成的 CSR 的路径。
  5. 将证书签名请求发送到证书颁发机构。相同的证书颁发机构必须为 Satellite 服务器和 Capsule 服务器签名证书。

    当您提交请求时,指定证书的 Lifespan。发送证书请求的方法会有所不同,因此请参阅证书颁发机构以获取首选方法。根据请求,您可以在单独的文件中接收证书颁发机构捆绑包和签名证书。

4.12.2. 将自定义 SSL 证书部署到 Satellite 服务器

使用这个流程将 Satellite 服务器配置为使用证书颁发机构签名的自定义 SSL 证书。katello-certs-check 命令验证输入证书文件,并返回将自定义 SSL 证书部署到 Satellite 服务器所需的命令。

流程

  1. 验证自定义 SSL 证书输入文件。请注意,为了使 katello-certs-check 命令正常工作,证书中的通用名称(CN)必须与 Satellite 服务器的 FQDN 匹配。

    # katello-certs-check \
    -c /root/satellite_cert/satellite_cert.pem \      1
    -k /root/satellite_cert/satellite_cert_key.pem \  2
    -b /root/satellite_cert/ca_cert_bundle.pem        3
    1
    由证书颁发机构签名的 Satellite 服务器证书文件的路径。
    2
    用于为 Satellite 服务器证书签名的私钥的路径。
    3
    证书颁发机构捆绑包的路径。

    如果命令成功,它会返回两个 satellite-installer 命令,则必须使用该命令之一将证书部署到 Satellite 服务器。

    katello-certs-check的输出示例

    Validation succeeded.
    
    To install the Red Hat Satellite Server with the custom certificates, run:
    
      satellite-installer --scenario satellite \
        --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \
        --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \
        --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem"
    
    To update the certificates on a currently running Red Hat Satellite installation, run:
    
      satellite-installer --scenario satellite \
        --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \
        --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \
        --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem" \
        --certs-update-server --certs-update-server-ca

  2. 根据您的要求,在 katello-certs-check 命令的输出中,输入 satellite-installer 命令来安装带有自定义 SSL 证书的新 Satellite 或更新当前运行的 Satellite。

    如果您不确定要运行的命令,您可以通过检查文件 /etc/foreman-installer/scenarios.d/.installed 来验证已安装了 Satellite。如果文件存在,请运行第二个 satellite-installer 命令来更新证书。

    重要

    在部署证书后,请勿删除证书存档文件。例如,需要升级 Satellite 服务器。

  3. 在对 Satellite 服务器有网络访问的计算机中,导航到以下 URL :https://satellite.example.com。
  4. 在您的浏览器中,查看证书详细信息以验证部署的证书。

4.12.3. 将自定义 SSL 证书部署到主机

将 Satellite 服务器配置为使用自定义 SSL 证书后,还必须在注册到此 Satellite 服务器的每个主机上安装 katello-ca-consumer 软件包。

流程

  • 在每个主机上安装 katello-ca-consumer 软件包:

    # yum localinstall \
    http://satellite.example.com/pub/katello-ca-consumer-latest.noarch.rpm