SSL証明書のインポート

このセクションでは、新しいSUSE Multi-Linux ManagerのインストールにSSL証明書を設定する方法、および既存の証明書を置き換える方法について説明します。

開始する前に、以下があることを確認します。

  • 認証局(CA) SSLパブリック証明書。 CAチェーンを使用している場合は、すべての中間CAも使用できる必要があります。

  • SSLサーバ秘密鍵

  • SSLサーバ証明書

すべてのファイルがPEM形式である必要があります。

SSLサーバ証明書のホスト名は、配備先マシンの完全修飾ホスト名と一致している必要があります。 ホスト名は、証明書のX509v3 Subject Alternative Nameセクションで設定できます。 環境で必要な場合は、複数のホスト名を一覧にすることもできます。 サポートされているキーの種類は、RSAEC (Elliptic Curve)です。

サードパーティの機関は通常、中間CAを使用して、要求されたサーバ証明書に署名します。 この場合、チェーン内のすべてのCAが使用できる必要があります。 中間CAを指定するために使用できる追加のパラメータまたはオプションがない場合は、すべてのCA (ルートCAおよび中間CA)が1つのファイルに保存されるように注意してください。

1. 新しいインストール用証明書のインポート

デフォルトで、SUSE Multi-Linux Managerは自己署名証明書を使用します。 初期セットアップを完了した後、デフォルトの証明書を、インポートされた証明書に置き換えることができます。

プロシージャ: 新しいSUSE Multi-Linux Managerサーバへの証明書のインポート

  1. Deploy the SUSE Multi-Linux Manager Server according to the instructions in Install SUSE Multi-Linux Manager Server. Make sure to pass the correct files as parameters to mgradm install podman. The parameters are:

    3rd Party SSL Certificate Flags:
      --ssl-ca-intermediate 文字列   中間CA証明書のパス
      --ssl-ca-root 文字列            ルートCA証明書のパス
      --ssl-server-cert 文字列        サーバ証明書のパス
      --ssl-server-key 文字列         サーバキーのパス

2. 新しいプロキシインストール用の証明書のインポート

デフォルトでは、SUSE Multi-Linux Managerプロキシは自己署名証明書を使用します。 初期セットアップを完了した後で、デフォルトの証明書を、インポートされた証明書に置き換えることができます。

プロシージャ: 新しいSUSE Multi-Linux Managerプロキシへの証明書のインポート

  1. Install the SUSE Multi-Linux Manager Proxy according to the instructions in SUSE Multi-Linux Managerプロキシのインストール.

  2. プロンプトに従ってセットアップを完了します。

サーバとプロキシのすべてのサーバ証明書に署名するには、同じ認証局(CA)を使用します。 異なるCAで署名された証明書は一致しません。

3. 証明書を置き換える

SUSE Multi-Linux Managerのインストールでアクティブな証明書を新しい証明書に置き換えることができます。 証明書を置き換えるには、インストールされているCA証明書を新しいCAに置き換えてから、データベースを更新します。

プロシージャ: 既存の証明書を置き換える

  1. SUSE Multi-Linux Managerコンテナホストのコマンドプロンプトで、証明書ファイルをコンテナに一時的にコピーします。

    for f in <Root_CA_Certificate> <Server_Cert_File> <Server_Key_File>; do
  mgrctl cp $f server:/tmp
done

  2. SUSE Multi-Linux Managerコンテナホストで、次のコマンドを呼び出して、パラメータとして証明書を提供するコンテナ内でmgr-ssl-cert-setupを実行します。

    mgrctl exec -ti -- mgr-ssl-cert-setup --root-ca-file=/tmp/<Root_CA_Certificate> \
  --server-cert-file=/tmp/<Server_Cert_File> --server-key-file=/tmp/<Server_Key_File>

  3. コンテナから一時的にコピーされたファイルを削除します。

    mgrctl exec -ti -- rm /tmp/<Root_CA_Certificate> /tmp/<Server_Cert_File> \
  /tmp/<Server_Key_File>

中間CAは、--root-ca-fileで指定されたファイルで使用することも、--intermediate-ca-fileで追加オプションとして指定することもできます。 --intermediate-ca-fileオプションは複数回指定できます。 mgr-ssl-cert-setupコマンドは、提供されたファイルが有効で、要求されたユースケースに適しているかどうかをテストします。 その後、コマンドはファイルを必要なすべての場所にコピーまたは配備します。

プロシージャ: SUSE Multi-Linux Managerサーバの再起動

  1. コンテナホストで、サーバを再起動して変更を取得します。

    mgradm restart

プロキシを使用している場合は、各プロキシのホスト名とcnameを使用して、各プロキシ用のサーバ証明書RPMを生成する必要があります。 新しい設定tarballを生成して配備します。

For more information, see installation-and-upgrade:container-deployment/mlm/proxy-deployment-mlm.adoc#_generate_proxy_configuration.

ルートCAが変更された場合は、SUSE Multi-Linux Managerに接続されているすべてのクライアントに配備する必要があります。

プロシージャ: クライアント上のルートCAの配備

  1. SUSE Multi-Linux Manager Web UIで、システム  概要に移動します。

  2. すべてのクライアントをチェックして、システムセットマネージャに追加します。

  3. システム  システムセットマネージャ  概要に移動します。

  4. 状態]フィールドで、適用をクリックして、システムの状態を適用します。

  5. highstate]ページで、highstateの適用をクリックして、クライアントに変更を伝播します。