SSL証明書のインポート

このセクションでは、新しいSUSE Multi-Linux ManagerのインストールにSSL証明書を設定する方法、および既存の証明書を置き換える方法について説明します。

開始する前に、以下があることを確認します。

認証局(CA) SSLパブリック証明書。 CAチェーンを使用している場合は、すべての中間CAも使用できる必要があります。
SSLサーバ秘密鍵
SSLサーバ証明書
An SSL database private key
An SSL database certificate

すべてのファイルがPEM形式である必要があります。

SSLサーバ証明書のホスト名は、配備先マシンの完全修飾ホスト名と一致している必要があります。ホスト名は、証明書のX509v3 Subject Alternative Nameセクションで設定できます。環境で必要な場合は、複数のホスト名を一覧にすることもできます。サポートされているキーの種類は、RSAとEC (Elliptic Curve)です。

Database SSL certificates require reportdb and db as Subject Alternative Name.

Third-party authorities commonly use intermediate CAs to sign requested server certificates. In this case, all CAs in the chain are required to be available. The mgrdadm commands are taking care of ordering the certificates. Ideally, the root CA should be in its own file. The server certificate file should contain the server certificate first, followed by all intermediate CA certificates in order.

1. 新しいインストール用証明書のインポート

デフォルトで、SUSE Multi-Linux Managerは自己署名証明書を使用します。初期セットアップを完了した後、デフォルトの証明書を、インポートされた証明書に置き換えることができます。

プロシージャ: 新しいSUSE Multi-Linux Managerサーバへの証明書のインポート

Deploy the SUSE Multi-Linux Manager Server according to the instructions in Install SUSE Multi-Linux Manager Server. Make sure to pass the correct files as parameters to mgradm install podman. The parameters are:

3rd Party SSL Certificate Flags:
      --ssl-ca-intermediate strings    Intermediate CA certificate path
      --ssl-ca-root string             Root CA certificate path
      --ssl-server-cert string         Server certificate path
      --ssl-server-key string          Server key path
      --ssl-db-ca-intermediate strings Intermediate CA certificate path for the database if different from the server one
      --ssl-db-ca-root string          Root CA certificate path for the database if different from the server one
      --ssl-db-cert string             Database certificate path
      --ssl-db-key string              Database key path

中間CAは、--ssl-ca-rootで指定されたファイルで使用することも、--ssl-ca-intermediateで追加オプションとして指定することもできます。 --ssl-ca-intermediateオプションは複数回指定できます。

2. 新しいプロキシインストール用の証明書のインポート

デフォルトでは、SUSE Multi-Linux Managerプロキシは自己署名証明書を使用します。初期セットアップを完了した後で、デフォルトの証明書を、インポートされた証明書に置き換えることができます。

プロシージャ: 新しいSUSE Multi-Linux Managerプロキシへの証明書のインポート

Install the SUSE Multi-Linux Manager Proxy according to the instructions in SUSE Multi-Linux Managerプロキシのインストール.
プロンプトに従ってセットアップを完了します。

サーバとプロキシのすべてのサーバ証明書に署名するには、同じ認証局(CA)を使用します。異なるCAで署名された証明書は一致しません。

3. 証明書を置き換える

SUSE Multi-Linux Managerのインストールでアクティブな証明書を新しい証明書に置き換えることができます。証明書を置き換えるには、インストールされているCA証明書を新しいCAに置き換えてから、データベースを更新します。

プロシージャ: 既存の証明書をすべて置き換える

On the SUSE Multi-Linux Manager container host, at the command prompt, recreate podman certificate secrets:

podman secret create --replace uyuni-ca $path_to_ca_certificate
podman secret create --replace uyuni-db-ca $path_to_database_ca_certificate
podman secret create --replace uyuni-cert $path_to_server_certificate
podman secret create --replace uyuni-key $path_to_server_key
podman secret create --replace uyuni-db-cert $path_to_database_certificate
podman secret create --replace uyuni-db-key $path_to_database_key

プロシージャ: SUSE Multi-Linux Managerサーバの再起動

コンテナホストで、サーバを再起動して変更を取得します。
```
mgradm restart
```

プロキシを使用している場合は、各プロキシのホスト名とcnameを使用して、各プロキシ用のサーバ証明書RPMを生成する必要があります。新しい設定tarballを生成して配備します。

For more information, see installation-and-upgrade:container-deployment/mlm/proxy-deployment-mlm.adoc#_generate_proxy_configuration.

ルートCAが変更された場合は、SUSE Multi-Linux Managerに接続されているすべてのクライアントに配備する必要があります。

If the CA certificate was updated, a RPM file with Kiwi certificate needs to be repackaged.

On the SUSE Multi-Linux Manager Server container host, execute following command:

mgrctl exec mgr-package-rpm-certificate-osimage

Then apply highstate on the Image Build hosts to deploy the new certificates for Kiwi to use.

プロシージャ: クライアント上のルートCAの配備

SUSE Multi-Linux Manager Web UIで、システム 概要に移動します。
すべてのクライアントをチェックして、システムセットマネージャに追加します。
システム システムセットマネージャ 概要に移動します。
［状態］フィールドで、適用をクリックして、システムの状態を適用します。
［highstate］ページで、highstateの適用をクリックして、クライアントに変更を伝播します。