D.2. 在 Manager 和 LDAP 服务器间设置加密通信

要设置 Red Hat Virtualization Manager 和 LDAP 服务器之间的加密通信,获取 LDAP 服务器的 root CA 证书,将 root CA 证书复制到 Manager,并创建 PEM 编码的 CA 证书。密钥存储类型可以是任何支持 Java 的类型。以下流程使用 Java KeyStore (JKS)格式。

注意

有关创建 PEM 编码的 CA 证书并导入证书的更多信息,请参阅 /usr/share/doc/ovirt-engine-extension-aaa-ldap-version 的 README 文件的 X.509 CERTIFICATE TRUST STORE 部分。

创建 PEM 编码的 CA 证书

  1. 在 Red Hat Virtualization Manager 中,将 LDAP 服务器的 root CA 证书复制到 /tmp 目录中,并使用 keytool 创建 PEM 编码的 CA 证书导入 root CA 证书。以下命令在 /tmp/myrootca.pem 中导入 root CA 证书,并在 /etc/ovirt-engine/aaa/ 下创建一个 PEM 编码的 CA 证书 myrootca.jks。记下证书的位置和密码。如果您使用交互式设置工具,则这是您需要的所有信息。如果要手动配置 LDAP 服务器,请按照其余步骤更新配置文件。

    $ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
  2. 使用证书信息更新 /etc/ovirt-engine/aaa/profile1.properties 文件:

    注意

    ${local:_basedir} 是 LDAP 属性配置文件所在的目录,并指向 /etc/ovirt-engine/aaa 目录。如果您在不同的目录中创建 PEM 编码的 CA 证书,请使用证书的完整路径替换 ${local:_basedir}

    • 使用 startTLS (推荐):

      # Create keystore, import certificate chain and uncomment
      pool.default.ssl.startTLS = true
      pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
      pool.default.ssl.truststore.password = password
    • 使用 SSL:

      # Create keystore, import certificate chain and uncomment
      pool.default.serverset.single.port = 636
      pool.default.ssl.enable = true
      pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
      pool.default.ssl.truststore.password = password

要继续配置外部 LDAP 供应商,请参阅配置外部 LDAP 提供程序。要继续为单点登录配置 LDAP 和 Kerberos,请参阅为单点登录配置 LDAP 和 Kerberos