4.12.2. 将自定义 SSL 证书部署到卫星服务器

使用这个步骤将 Satellite 服务器配置为使用由证书颁发机构签名的自定义 SSL 证书。katello-certs-check 命令验证输入证书文件,并将自定义 SSL 证书部署到卫星服务器所需的命令返回。

流程

要在卫星服务器上部署自定义证书,请完成以下步骤:

  1. 验证自定义 SSL 证书输入文件。请注意,对于 katello-certs-check 命令可以正常工作,证书中的 Common Name(CN)必须与卫星服务器的 FQDN 匹配。

    # katello-certs-check \
    -c /root/satellite_cert/satellite_cert.pem \      1
    -k /root/satellite_cert/satellite_cert_key.pem \  2
    -b /root/satellite_cert/ca_cert_bundle.pem        3
    1
    由证书颁发机构签名的 Satellite 服务器证书文件的路径。
    2
    用于为胶囊服务器证书签名的私钥的路径。
    3
    证书颁发机构捆绑包的路径。

    如果命令成功,它将返回两个 satellite-installer 命令,其中一个必须使用它来将证书部署到卫星服务器。

    katello-certs-check输出示例

    Validation succeeded.
    
    To install the Red Hat Satellite Server with the custom certificates, run:
    
      satellite-installer --scenario satellite \
        --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \
        --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \
        --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem"
    
    To update the certificates on a currently running Red Hat Satellite installation, run:
    
      satellite-installer --scenario satellite \
        --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \
        --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \
        --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem" \
        --certs-update-server --certs-update-server-ca

  2. katello-certs-check 命令的输出中,根据您的要求,输入 satellite-installer 命令,该命令使用自定义 SSL 证书在当前正在运行的 Satellite 上安装新 Satellite 或更新证书。

    如果您不确定要运行的命令,您可以通过检查文件 /etc/foreman-installer/scenarios.d/.installed 来验证是否安装了 Satellite。如果文件存在,请运行更新证书的第二个 satellite-installer 命令。

    重要

    不要在部署证书后删除证书归档文件。例如,升级卫星服务器时需要它。

  3. 在可访问卫星服务器的计算机中,导航到以下 URL: https://satellite.example.com
  4. 在浏览器中,查看证书详情以验证部署的证书。