附录 D. Red Hat Virtualization 和 SSL

D.1. 替换 Red Hat Virtualization Manager SSL 证书

警告

不要修改 /etc/pki 目录和它的所有子目录的访问权限和所有者权限。/etc/pki/etc/pki/ovirt-engine 目录的权限必须保持为默认的值(755)。
当用户通过 HTTPS 连接到您的 Red Hat Virtualization Manager 时,您希望使用由商业证书授权机构为您签发的证书。

注意

使用商业证书授权机构签发的证书进行 https 连接,并不会影响到 Manager 和主机间进行验证时所使用的证书,它们仍然使用由 Manager 产生的自己签发的证书来进行验证。
前提条件
您需要一个商业证书授权机构签发的 PEM 格式的证书、一个 .nokey 文件和一个 .cer 文件。.nokey.cer 文件有时以 P12 格式的证书密钥被发放。
这个步骤假设您已经有了 P12 格式的证书密钥。

过程 D.1. 替换 Red Hat Virtualization Manager Apache SSL 证书

  1. Manager 已经被配置为使用 /etc/pki/ovirt-engine/apache-ca.pem(到 /etc/pki/ovirt-engine/ca.pem 的一个符号链接)。删除这个符号链接。
    # rm /etc/pki/ovirt-engine/apache-ca.pem
  2. 把您的商业证书授权机构签发的证书保存为 /etc/pki/ovirt-engine/apache-ca.pem。证书链必须包括根证书,它的顺序非常重要,需要是从最后一个中间证书到根证书。
    mv YOUR-3RD-PARTY-CERT.pem /etc/pki/ovirt-engine/apache-ca.pem
  3. 把您的 P12 文件移到 /etc/pki/ovirt-engine/keys/apache.p12
  4. 从文件中展开密钥。
    # openssl pkcs12 -in  /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /etc/pki/ovirt-engine/keys/apache.key.nopass
  5. 从文件中展开证书
    # openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /etc/pki/ovirt-engine/certs/apache.cer
  6. 重新启动 Apache 服务器。
    # service httpd restart
当用户使用 https 连接到您的门户上时,不会再出现质疑您所使用的证书的权威性的警告信息。

重要

替换证书可能会导致日志收集程序出现问题(如 https://access.redhat.com/solutions/458713 所述)。为了避免问题的出现,编辑日志收集程序的配置:
  1. 从 CA 服务器输出 CA 证书,把它复制到 Red Hat Virtualization Manager 服务器。
  2. 通过把以下内容添加到 /etc/ovirt-engine/logcollector.conf 文件来把日志收集程序指向新的位置:
    cert-file=/path/to/new/CA/file