Red Hat Training
A Red Hat training course is available for Red Hat Virtualization
D.2. 在 Manager 和 LDAP 服务器之间设置 SSL 或 TLS 连接
要在 Red Hat Enterpriser Virtualization Manager 和 LDAP 服务器之间设置安全连接,获取 LDAP 服务器的 root CA 证书,将 root CA 证书复制到管理器,并创建 PEM 编码的 CA 证书。密钥存储类型可以是任何 Java 支持的类型。以下流程使用 Java KeyStore (JKS)格式。
注意
有关创建 PEM 编码的 CA 证书和导入证书的更多信息,请参阅 README 文件的
X.509 CERTIFICATE TRUST STORE 部分,网址为 /usr/share/doc/ovirt-engine-extension-aaa-ldap-version。
过程 D.3. 创建 PEM 编码的 CA 证书
- 在 Red Hat Virtualization Manager 中,将 LDAP 服务器的 root CA 证书复制到
/tmp目录中,并使用 keytool 创建 PEM 编码的 CA 证书。以下命令在 /tmp/myrootca.pem 中导入 root CA 证书,并在 /etc/ovirt-engine/aaa/ 下创建 PEM 编码的 CA 证书 myrootca.jks。请注意证书的位置和密码。如果您使用交互式设置工具,这是您需要的所有信息。如果您要手动配置 LDAP 服务器,请按照剩余的步骤来更新配置文件。$ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
- 使用证书信息更新
/etc/ovirt-engine/aaa/profile1.properties文件:注意${local:_basedir}是 LDAP 属性配置文件所在的目录,并指向/etc/ovirt-engine/aaa目录。如果您在不同的目录中创建 PEM 编码的 CA 证书,请将${local:_basedir}替换为证书的完整路径。- 使用 startTLS (推荐):
# Create keystore, import certificate chain and uncomment pool.default.ssl.startTLS = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password - 使用 SSL:
# Create keystore, import certificate chain and uncomment pool.default.serverset.single.port = 636 pool.default.ssl.enable = true pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks pool.default.ssl.truststore.password = password
要继续配置外部 LDAP 供应商,请参阅 第 15.3.1 节 “配置外部 LDAP 提供程序(交互设置)”。要继续为单点登录配置 LDAP 和 Kerberos,请参阅 第 15.4 节 “为单点登录配置 LDAP 和 Kerberos”。
