自己署名SSL証明書
デフォルトでは、SUSE Managerは自己署名証明書を使用します。 この場合、証明書はSUSE Managerによって作成され、署名されます。 この方法では、証明書の詳細が正しいことを保証するために独立した認証局を使用しません。 サードパーティCAは、証明書に含まれる情報が正しいことを確認するためにチェックを実行します。 サードパーティCAの詳細については、SSL証明書のインポートを参照してください。
このセクションでは、新規または既存のインストールで自己署名証明書を作成または再作成する方法について説明します。
SSLキーおよび証明書のホスト名はそれらを配備するマシンの完全修飾ホスト名に一致する必要があります。
1. 既存のサーバ証明書の再作成
既存の証明書の有効期限が切れているか、何らかの理由で動作を停止している場合は、既存のCAから新しいサーバ証明書を生成できます。
-
SUSE Managerサーバのコマンドプロンプトで、サーバ証明書を再生成します。
mgrctl exec -ti -- rhn-ssl-tool --gen-server --dir="/root/ssl-build" --set-country="COUNTRY" \ --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \ --set-org-unit="ORGANIZATION UNIT" --set-email="name@example.com" \ --set-hostname="susemanager.example.com" --set-cname="example.com"
set-cnameパラメータがSUSE Managerサーバの完全修飾ドメイン名であることを確認します。 複数のエイリアスが必要な場合は複数回、set-cnameパラメータを使用できます。
秘密鍵とサーバ証明書はディレクトリ/root/ssl-build/susemanager/にserver.keyとserver.crtとして検索できます。 最後のディレクトリの名前は、--set-hostnameオプションで使用されるホスト名に依存します。
2. 新しいCAおよびサーバ証明書の作成
|
ルートCAを置き換える必要がある場合は注意してください。 サーバとクライアントの間の信頼チェーンを切断する可能性があります。 その場合は、管理ユーザがすべてのクライアントにログインしてCAを直接配備する必要があります。 |
-
SUSE Managerサーバのコマンドプロンプトで、古い証明書ディレクトリを新しい場所に移動します。
mgrctl exec -- mv /root/ssl-build /root/old-ssl-build
-
新しいCA証明書を生成します。
mgrctl exec -ti -- rhn-ssl-tool --gen-ca --dir="/root/ssl-build" --set-country="COUNTRY" \ --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \ --set-org-unit="ORGANIZATION UNIT" --set-common-name="SUSE Manager CA Certificate" \ --set-email="name@example.com"
-
新しいサーバ証明書を生成します。
mgrctl exec -ti -- rhn-ssl-tool --gen-server --dir="/root/ssl-build" --set-country="COUNTRY" \ --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \ --set-org-unit="ORGANIZATION UNIT" --set-email="name@example.com" \ --set-hostname="susemanager.example.top" --set-cname="example.com"
set-cnameパラメータがSUSE Managerサーバの完全修飾ドメイン名であることを確認します。 複数のエイリアスが必要な場合は複数回、set-cnameパラメータを使用できます。ホスト名とcnameを使用して、各プロキシのサーバ証明書も生成する必要があります。