导入 SSL 证书
本节介绍如何为新的 SUSE Multi-Linux Manager 安装配置 SSL 证书,以及如何替换现有证书。
在开始之前,请确保已准备好:
-
一个证书颁发机构 (CA) SSL 公共证书。如果您使用 CA 链,则所有中间 CA 也必须可用。
-
一个 SSL 服务器私用密钥
-
一个 SSL 服务器证书
-
An SSL database private key
-
An SSL database certificate
所有文件必须采用 PEM 格式。
SSL 服务器证书的主机名必须与其部署到的计算机的完全限定主机名匹配。您可以在证书的 X509v3 Subject Alternative Name
部分中设置主机名,也可以根据环境的需要列出多个主机名。支持的密钥类型为 RSA
和 EC
(椭圆曲线)。
Database SSL certificates require |
第三方颁发机构通常使用中间 CA 来为请求的服务器证书签名。在这种情况下,链中的所有 CA 都必须可用。如果没有额外的参数或选项可用于指定中间 CA,请注意所有 CA(根 CA 和中间 CA)都将存储在一个文件中。
1. 为新安装导入证书
SUSE Multi-Linux Manager 默认使用自我签名证书。完成初始设置后,可将默认证书替换为导入的证书。
-
Deploy the SUSE Multi-Linux Manager Server according to the instructions in Install SUSE Multi-Linux Manager Server. Make sure to pass the correct files as parameters to
mgradm install podman
. The parameters are:3rd Party SSL Certificate Flags: --ssl-ca-intermediate strings Intermediate CA certificate path --ssl-ca-root string Root CA certificate path --ssl-server-cert string Server certificate path --ssl-server-key string Server key path --ssl-db-ca-intermediate strings Intermediate CA certificate path for the database if different from the server one --ssl-db-ca-root string Root CA certificate path for the database if different from the server one --ssl-db-cert string Database certificate path --ssl-db-key string Database key path
中间 CA 可以在使用 --ssl-ca-root
指定的文件中提供,也可以使用 --ssl-ca-intermediate
作为附加选项来指定。可以多次指定 --ssl-ca-intermediate
选项。
2. 为新的 Proxy 安装导入证书
SUSE Multi-Linux Manager Proxy 默认使用自我签名证书。完成初始设置后,您可以将默认证书替换为导入的证书。
-
Install the SUSE Multi-Linux Manager Proxy according to the instructions in 安装 SUSE Multi-Linux Manager 代理.
-
按照提示完成设置。
请使用同一证书颁发机构 (CA) 为服务器和代理的所有服务器证书签名。使用不同 CA 签名的证书将不匹配。 |
3. 替换证书
您可以将 SUSE Multi-Linux Manager 安装中的活动证书替换为新证书。要替换证书,可以将已安装的 CA 证书替换为新 CA,然后更新数据库。
-
On the SUSE Multi-Linux Manager container host, at the command prompt, recreate podman certificate secrets:
podman secret create --replace uyuni-ca $path_to_ca_certificate podman secret create --replace uyuni-db-ca $path_to_database_ca_certificate podman secret create --replace uyuni-cert $path_to_server_certificate podman secret create --replace uyuni-key $path_to_server_key podman secret create --replace uyuni-db-cert $path_to_database_certificate podman secret create --replace uyuni-db-key $path_to_database_key mgradm restart
-
在容器主机上,重启动服务以应用更改:
mgradm restart
如果您使用的是代理,则需要使用相关代理的主机名和 cname 为每个代理生成一个服务器证书 RPM。生成新的配置 tarball 并进行部署。
For more information, see installation-and-upgrade:container-deployment/mlm/proxy-deployment-mlm.adoc#_generate_proxy_configuration.
如果根 CA 已更改,则需要将其部署到与 SUSE Multi-Linux Manager 连接的所有客户端。
-
在 SUSE Multi-Linux Manager Web UI 中,导航到
。 -
选中所有客户端以将其添加到系统集管理器。
-
导航到
。 -
在
状态
字段中,单击 应用 以应用系统状态。 -
在
Highstate
页面中,单击 应用 Highstate 以将更改传播到客户端。