SSL証明書のインポート
このセクションでは、新しいSUSE Multi-Linux ManagerのインストールにSSL証明書を設定する方法、および既存の証明書を置き換える方法について説明します。
開始する前に、以下があることを確認します。
-
認証局(CA) SSLパブリック証明書。 CAチェーンを使用している場合は、すべての中間CAも使用できる必要があります。
-
SSLサーバ秘密鍵
-
SSLサーバ証明書
-
An SSL database private key
-
An SSL database certificate
すべてのファイルがPEM形式である必要があります。
SSLサーバ証明書のホスト名は、配備先マシンの完全修飾ホスト名と一致している必要があります。 ホスト名は、証明書のX509v3 Subject Alternative Name
セクションで設定できます。 環境で必要な場合は、複数のホスト名を一覧にすることもできます。 サポートされているキーの種類は、RSA
とEC
(Elliptic Curve)です。
Database SSL certificates require |
サードパーティの機関は通常、中間CAを使用して、要求されたサーバ証明書に署名します。 この場合、チェーン内のすべてのCAが使用できる必要があります。 中間CAを指定するために使用できる追加のパラメータまたはオプションがない場合は、すべてのCA (ルートCAおよび中間CA)が1つのファイルに保存されるように注意してください。
1. 新しいインストール用証明書のインポート
デフォルトで、SUSE Multi-Linux Managerは自己署名証明書を使用します。 初期セットアップを完了した後、デフォルトの証明書を、インポートされた証明書に置き換えることができます。
-
Deploy the SUSE Multi-Linux Manager Server according to the instructions in Install SUSE Multi-Linux Manager Server. Make sure to pass the correct files as parameters to
mgradm install podman
. The parameters are:3rd Party SSL Certificate Flags: --ssl-ca-intermediate strings Intermediate CA certificate path --ssl-ca-root string Root CA certificate path --ssl-server-cert string Server certificate path --ssl-server-key string Server key path --ssl-db-ca-intermediate strings Intermediate CA certificate path for the database if different from the server one --ssl-db-ca-root string Root CA certificate path for the database if different from the server one --ssl-db-cert string Database certificate path --ssl-db-key string Database key path
中間CAは、--ssl-ca-root
で指定されたファイルで使用することも、--ssl-ca-intermediate
で追加オプションとして指定することもできます。 --ssl-ca-intermediate
オプションは複数回指定できます。
2. 新しいプロキシインストール用の証明書のインポート
デフォルトでは、SUSE Multi-Linux Managerプロキシは自己署名証明書を使用します。 初期セットアップを完了した後で、デフォルトの証明書を、インポートされた証明書に置き換えることができます。
-
Install the SUSE Multi-Linux Manager Proxy according to the instructions in SUSE Multi-Linux Managerプロキシのインストール.
-
プロンプトに従ってセットアップを完了します。
サーバとプロキシのすべてのサーバ証明書に署名するには、同じ認証局(CA)を使用します。 異なるCAで署名された証明書は一致しません。 |
3. 証明書を置き換える
SUSE Multi-Linux Managerのインストールでアクティブな証明書を新しい証明書に置き換えることができます。 証明書を置き換えるには、インストールされているCA証明書を新しいCAに置き換えてから、データベースを更新します。
-
On the SUSE Multi-Linux Manager container host, at the command prompt, recreate podman certificate secrets:
podman secret create --replace uyuni-ca $path_to_ca_certificate podman secret create --replace uyuni-db-ca $path_to_database_ca_certificate podman secret create --replace uyuni-cert $path_to_server_certificate podman secret create --replace uyuni-key $path_to_server_key podman secret create --replace uyuni-db-cert $path_to_database_certificate podman secret create --replace uyuni-db-key $path_to_database_key mgradm restart
-
コンテナホストで、サーバを再起動して変更を取得します。
mgradm restart
プロキシを使用している場合は、各プロキシのホスト名とcnameを使用して、各プロキシ用のサーバ証明書RPMを生成する必要があります。 新しい設定tarballを生成して配備します。
For more information, see installation-and-upgrade:container-deployment/mlm/proxy-deployment-mlm.adoc#_generate_proxy_configuration.
ルートCAが変更された場合は、SUSE Multi-Linux Managerに接続されているすべてのクライアントに配備する必要があります。
-
SUSE Multi-Linux Manager Web UIで、
に移動します。 -
すべてのクライアントをチェックして、システムセットマネージャに追加します。
-
に移動します。
-
[
状態
]フィールドで、適用をクリックして、システムの状態を適用します。 -
[
highstate
]ページで、highstateの適用をクリックして、クライアントに変更を伝播します。