付録D Red Hat Virtualization と SSL

⁠D.1. Red Hat Virtualization Manager の SSL 証明書の変更

警告

/etc/pki ディレクトリーおよびサブディレクトリーのパーミッションと所有権は変更しないでください。/etc/pki ディレクトリーおよび /etc/pki/ovirt-engine ディレクトリーのパーミッションはデフォルトの 755 のままにする必要があります。

自分の組織の商用署名入り証明書を使用し、HTTPS を介して Manager に接続するユーザーに対して、Red Hat Virtualization Manager を識別します。

注記

商用に発行された https 接続用の証明書を使用しても、Manager とホスト間の認証に使用している証明書には影響を及ぼすことなく、Manager によって生成された自己署名証明書が引き続き使用されます。

要件

この手順には、商用証明書の発行機関から取得した PEM 形式の証明書、.nokey ファイル、および .cer ファイルが必要です。.nokey ファイルおよび .cer ファイルは、証明書と鍵のバンドルとして、P12 形式で配布されている場合があります。

本手順は、P12 形式の証明書/鍵バンドルがあることを前提としています。

手順D.1 Red Hat Virtualization Manager Apache SSL 証明書の置き換え

Manager は、/etc/pki/ovirt-engine/ca.pem にシンボリックリンクされた /etc/pki/ovirt-engine/apache-ca.pem を使用するように設定されているので、このシンボリックリンクを削除します。
```
# rm /etc/pki/ovirt-engine/apache-ca.pem
```
商用に発行された証明書を /etc/pki/ovirt-engine/apache-ca.pem として保存します。証明書チェーンは、ルート証明書まで完了する必要があります。チェーンの順序は重要で、最新の中間証明書、ルート証明書の順にする必要があります。
```
mv YOUR-3RD-PARTY-CERT.pem /etc/pki/ovirt-engine/apache-ca.pem
```
P12 バンドルを /etc/pki/ovirt-engine/keys/apache.p12 に移動します。

バンドルから鍵を抽出します。

# openssl pkcs12 -in  /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /etc/pki/ovirt-engine/keys/apache.key.nopass

バンドルから証明書を抽出します。

# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /etc/pki/ovirt-engine/certs/apache.cer

HTTPS トラフィックの暗号化に使用する証明書の信頼性についての警告が表示されることなく、ポータルに接続できるようになりました。

重要

証明書を置き換えると、https://access.redhat.com/solutions/458713 に記載されているように、ログコレクターでエラーが発生する場合があります。このようなエラーを回避するには、ログコレクターの設定を以下のように編集してください。

CA サーバーから CA 証明書をエクスポートして、Red Hat Virtualization Manager サーバーにコピーします。
/etc/ovirt-engine/logcollector.conf に以下の行を追加して、ログコレクターを新規ロケーションにポイントします。
```
cert-file=/path/to/new/CA/file
```