4.13. 使用自定义 SSL 证书配置 Satellite 服务器

默认情况下,红帽卫星使用自签名 SSL 证书启用卫星服务器、外部胶囊服务器和所有主机之间的加密通信。如果无法使用 Satellite 自签名证书,您可以将卫星服务器配置为使用由外部证书颁发机构签名的 SSL 证书。

要使用自定义证书配置 Satellite 服务器,请完成以下步骤:

  1. 第 4.13.1 节 “将自定义 SSL 证书部署到 Satellite 服务器”
  2. 第 4.13.2 节 “将自定义 SSL 证书部署到主机”
  3. 如果您在 Satellite 服务器中注册了外部胶囊服务器,则必须使用自定义 SSL 证书配置它们。相同的证书颁发机构必须为卫星服务器和 Capsule 服务器签署证书。如需更多信息,请参阅 安装胶囊服务器 中的 配置带有自定义 SSL 证书的胶囊服务器

4.13.1. 将自定义 SSL 证书部署到 Satellite 服务器

使用这个流程将 Satellite 服务器配置为使用由证书颁发机构签名的自定义 SSL 证书。katello-certs-check 命令验证输入证书文件,并将自定义 SSL 证书部署到 Satellite 服务器所需的命令返回。

流程

  1. 验证自定义 SSL 证书输入文件。请注意,对于 katello-certs-check 命令正常工作,证书中的 Common Name (CN)必须与 Satellite 服务器的 FQDN 匹配。 

    # katello-certs-check \
-c /root/satellite_cert/satellite_cert.pem \      1
-k /root/satellite_cert/satellite_cert_key.pem \  2
-b /root/satellite_cert/ca_cert_bundle.pem        3
    1
    由证书颁发机构签名的卫星服务器证书文件的路径。
    2
    用于签署卫星服务器证书的私钥的路径。
    3
    证书颁发机构捆绑包的路径。

    如果命令成功,它会返回两个 satellite-installer 命令,其中一个命令必须用来将证书部署到 Satellite 服务器。

    katello-certs-check的输出示例

    Validation succeeded.

To install the Red Hat Satellite Server with the custom certificates, run:

  satellite-installer --scenario satellite \
    --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \
    --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \
    --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem"

To update the certificates on a currently running Red Hat Satellite installation, run:

  satellite-installer --scenario satellite \
    --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \
    --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \
    --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem" \
    --certs-update-server --certs-update-server-ca

  2. 根据要求,在 katello-certs-check 命令的输出中,输入 satellite-installer 命令,该命令使用自定义 SSL 证书安装新 Satellite,或在当前运行的 Satellite 上更新证书。

    如果您不确定要运行的命令,可以通过检查文件 /etc/foreman-installer/scenarios.d/.installed 来验证是否安装 Satellite。如果存在该文件,请运行更新证书的第二个 satellite-installer 命令。

    重要

    部署证书后,请勿删除证书存档文件。例如,在升级 Satellite 服务器时需要它。

  3. 在可通过网络访问 Satellite 服务器的计算机上,导航到以下 URL
  4. 在您的浏览器中,查看证书详情以验证部署的证书。

4.13.2. 将自定义 SSL 证书部署到主机

将 Satellite 服务器配置为使用自定义 SSL 证书后,还必须在注册到此 Satellite 服务器的每个主机上安装 katello-ca-consumer 软件包。

流程

  • 在每个主机上安装 katello-ca-consumer 软件包: 

    # dnf install http://satellite.example.com/pub/katello-ca-consumer-latest.noarch.rpm