Show Table of Contents
附录 D. Red Hat Virtualization 和 SSL
D.1. 替换 Red Hat Virtualization Manager SSL 证书
警告
不要修改
/etc/pki 目录和它的所有子目录的访问权限和所有者权限。/etc/pki 和 /etc/pki/ovirt-engine 目录的权限必须保持为默认的值(755)。
当用户通过 HTTPS 连接到您的 Red Hat Virtualization Manager 时,您希望使用由商业证书授权机构为您签发的证书。
注意
使用商业证书授权机构签发的证书进行 HTTPS 连接,并不会影响到 Manager 和主机间进行验证时所使用的证书,它们仍然使用由 Manager 产生的自己签发的证书来进行验证。
先决条件
您需要一个商业证书授权机构签发的 PEM 格式的证书、一个 .nokey 文件和一个 .cer 文件。.nokey 和 .cer 文件有时以 P12 格式的证书密钥被发放。
这个步骤假设您已经有了 P12 格式的证书密钥。
重要
对于全新的 Red Hat Virtualization 安装,您必须完成此操作中的所有步骤。如果从 Red Hat Enterprise Virtualization 3.6 环境升级时配置了商业证书授权机构签名的证书,仅需要执行第 1、8 和 9 步。
过程 D.1. 替换 Red Hat Virtualization Manager Apache SSL 证书
- 将商业证书授权机构签发的证书添加到主机层面的信任库。
# cp YOUR-3RD-PARTY-CERT.pem /etc/pki/ca-trust/source/anchors
# update-ca-trust
- Manager 已经被配置为使用
/etc/pki/ovirt-engine/apache-ca.pem(到/etc/pki/ovirt-engine/ca.pem的一个符号链接)。删除这个符号链接。# rm /etc/pki/ovirt-engine/apache-ca.pem
- 把您的商业证书授权机构签发的证书保存为
/etc/pki/ovirt-engine/apache-ca.pem。证书链必须包括根证书,它的顺序非常重要,需要是从最后一个中间证书到根证书。mv YOUR-3RD-PARTY-CERT.pem /etc/pki/ovirt-engine/apache-ca.pem
- 备份您的 P12 捆绑包,然后将它移到
/etc/pki/ovirt-engine/keys/apache.p12。 - 从文件中展开密钥。
# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /etc/pki/ovirt-engine/keys/apache.key.nopass
- 从文件中展开证书
# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /etc/pki/ovirt-engine/certs/apache.cer
- 重新启动 Apache 服务器。
# systemctl restart httpd.service
- 创建新的信任库配置文件。
# vi /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
添加下列内容,再保存文件。ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts" ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
- 重新启动
ovirt-engine服务。systemctl restart ovirt-engine.service
现在用户可以连接管理门户和用户门户,不会再出现质疑您所使用的证书的权威性的警告信息。
重要
替换证书可能会导致日志收集程序出现问题(如 https://access.redhat.com/solutions/458713 所述)。为了避免问题的出现,编辑日志收集程序的配置:
- 从 CA 服务器输出 CA 证书,把它复制到 Red Hat Virtualization Manager 服务器。
- 通过把以下内容添加到
/etc/ovirt-engine/logcollector.conf文件来把日志收集程序指向新的位置:cert-file=/path/to/new/CA/file
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.