Documentation survey

导入 SSL 证书

本节介绍如何为新的 SUSE Multi-Linux Manager 安装配置 SSL 证书,以及如何替换现有证书。

在开始之前,请确保已准备好:

  • 一个证书颁发机构 (CA) SSL 公共证书。如果您使用 CA 链,则所有中间 CA 也必须可用。

  • 一个 SSL 服务器私用密钥

  • 一个 SSL 服务器证书

  • An SSL database private key

  • An SSL database certificate

所有文件必须采用 PEM 格式。

SSL 服务器证书的主机名必须与其部署到的计算机的完全限定主机名匹配。您可以在证书的 X509v3 Subject Alternative Name 部分中设置主机名,也可以根据环境的需要列出多个主机名。支持的密钥类型为 RSAEC(椭圆曲线)。

Database SSL certificates require reportdb and db as Subject Alternative Name.

Third-party authorities commonly use intermediate CAs to sign requested server certificates. In this case, all CAs in the chain are required to be available. The mgrdadm commands are taking care of ordering the certificates. Ideally, the root CA should be in its own file. The server certificate file should contain the server certificate first, followed by all intermediate CA certificates in order.

1. 为新安装导入证书

SUSE Multi-Linux Manager 默认使用自我签名证书。完成初始设置后,可将默认证书替换为导入的证书。

过程:在新的 SUSE Multi-Linux Manager Server 上导入证书

  1. Deploy the SUSE Multi-Linux Manager Server according to the instructions in Install SUSE Multi-Linux Manager Server. Make sure to pass the correct files as parameters to mgradm install podman. The parameters are:

    3rd Party SSL Certificate Flags:
      --ssl-ca-intermediate strings    Intermediate CA certificate path
      --ssl-ca-root string             Root CA certificate path
      --ssl-server-cert string         Server certificate path
      --ssl-server-key string          Server key path
      --ssl-db-ca-intermediate strings Intermediate CA certificate path for the database if different from the server one
      --ssl-db-ca-root string          Root CA certificate path for the database if different from the server one
      --ssl-db-cert string             Database certificate path
      --ssl-db-key string              Database key path

中间 CA 可以在使用 --ssl-ca-root 指定的文件中提供,也可以使用 --ssl-ca-intermediate 作为附加选项来指定。可以多次指定 --ssl-ca-intermediate 选项。

2. 为新的 Proxy 安装导入证书

SUSE Multi-Linux Manager Proxy 默认使用自我签名证书。完成初始设置后,您可以将默认证书替换为导入的证书。

过程:在新的 SUSE Multi-Linux Manager Proxy 上导入证书

  1. Install the SUSE Multi-Linux Manager Proxy according to the instructions in 安装 SUSE Multi-Linux Manager 代理.

  2. 按照提示完成设置。

请使用同一证书颁发机构 (CA) 为服务器和代理的所有服务器证书签名。使用不同 CA 签名的证书将不匹配。

3. 替换证书

您可以将 SUSE Multi-Linux Manager 安装中的活动证书替换为新证书。要替换证书,可以将已安装的 CA 证书替换为新 CA,然后更新数据库。

过程:替换所有现有证书

  1. On the SUSE Multi-Linux Manager container host, at the command prompt, recreate podman certificate secrets:

    podman secret create --replace uyuni-ca $path_to_ca_certificate
podman secret create --replace uyuni-db-ca $path_to_database_ca_certificate
podman secret create --replace uyuni-cert $path_to_server_certificate
podman secret create --replace uyuni-key $path_to_server_key
podman secret create --replace uyuni-db-cert $path_to_database_certificate
podman secret create --replace uyuni-db-key $path_to_database_key
过程:重命名服务器

  1. 在容器主机上,重启动服务以应用更改:

    mgradm restart

如果您使用的是代理,则需要使用相关代理的主机名和 cname 为每个代理生成一个服务器证书 RPM。生成新的配置 tarball 并进行部署。

For more information, see installation-and-upgrade:container-deployment/mlm/proxy-deployment-mlm.adoc#_generate_proxy_configuration.

如果根 CA 已更改,则需要将其部署到与 SUSE Multi-Linux Manager 连接的所有客户端。

If the CA certificate was updated, a RPM file with Kiwi certificate needs to be repackaged.

On the SUSE Multi-Linux Manager Server container host, execute following command:

mgrctl exec mgr-package-rpm-certificate-osimage

Then apply highstate on the Image Build hosts to deploy the new certificates for Kiwi to use.
过程:在客户端上部署根 CA

  1. 在 SUSE Multi-Linux Manager Web UI 中,导航到系统  概览

  2. 选中所有客户端以将其添加到系统集管理器。

  3. 导航到系统  系统集管理器  概览

  4. 状态字段中,单击 应用 以应用系统状态。

  5. Highstate 页面中,单击 应用 Highstate 以将更改传播到客户端。