自己署名SSL証明書

デフォルトでは、SUSE Multi-Linux Managerは自己署名証明書を使用します。 この場合、証明書はSUSE Multi-Linux Managerによって作成され、署名されます。 この方法では、証明書の詳細が正しいことを保証するために独立した認証局を使用しません。 サードパーティCAは、証明書に含まれる情報が正しいことを確認するためにチェックを実行します。

このセクションでは、新規または既存のインストールで自己署名証明書を作成または再作成する方法について説明します。

SSLキーおよび証明書のホスト名はそれらを配備するマシンの完全修飾ホスト名に一致する必要があります。

CA certificates generated by older SUSE Multi-Linux Manager versions can miss the critical flag on the X509v3 Basic Constraints extension. Strict certificate validators, including Python 3.13 and later, reject such CA certificates and can report Basic Constraints of CA cert not marked critical. If your self-signed CA is affected, create a new CA and new server certificates, then deploy the new root CA to all clients. For more information about checking the CA certificate, see administration:ssl-certs-imported.adoc#ssl-certs-verify-ca-basic-constraints. For more information about replacing certificates and deploying the root CA to clients, see administration:ssl-certs-imported.adoc#ssl-certs-import-deploy-root-ca.

1. 既存のサーバ証明書の再作成

既存の証明書の有効期限が切れているか、何らかの理由で動作を停止している場合は、既存のCAから新しいサーバ証明書を生成できます。

プロシージャ: 既存のサーバ証明書の再作成
  1. SUSE Multi-Linux Managerコンテナホストのコマンドプロンプトで、サーバ証明書を再生成します。

    mgrctl exec -ti -- 'rhn-ssl-tool --gen-server --dir="/root/ssl-build" --set-country="COUNTRY" \
    --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \
    --set-org-unit="ORGANIZATION UNIT" --set-email="name@example.com" \
    --set-hostname="susemanager.example.com" --set-cname="example.com"'

    Ensure that the set-cname parameter is the fully qualified domain name of your SUSE Multi-Linux Manager Server. You can use the set-cname parameter multiple times if you require multiple aliases.

The private key and the server certificate can be found inside the server container in the directory /root/ssl-build/susemanager/ as server.key and server.crt. The name of the last directory depends on the hostname used with --set-hostname option.

コンテナのホストpodmanシークレットを更新して、新しい証明書とキーを配備またはインポートします。 生成されたばかりの証明書をインポートする方法の詳細については、administration:ssl-certs-imported.adoc#ssl-certs-import-replaceを参照してください。

2. 新しいCAおよびサーバ証明書の作成

ルートCAを置き換える必要がある場合は注意してください。 サーバとクライアントの間の信頼チェーンを切断する可能性があります。 その場合は、管理ユーザがすべてのクライアントにログインしてCAを直接配備する必要があります。

プロシージャ: 新しい証明書の作成
  1. SUSE Multi-Linux Managerコンテナホストのコマンドプロンプトで、古い証明書ディレクトリを新しい場所に移動します。

    mgrctl exec -- mv /root/ssl-build /root/old-ssl-build
  2. 新しいCA証明書を生成します。

    mgrctl exec -ti -- 'rhn-ssl-tool --gen-ca --dir="/root/ssl-build" --set-country="COUNTRY" \
    --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \
    --set-org-unit="ORGANIZATION UNIT" --set-common-name="SUSE Manager CA Certificate" \
    --set-email="name@example.com"'
  3. 新しいサーバ証明書を生成します。

    mgrctl exec -ti -- 'rhn-ssl-tool --gen-server --dir="/root/ssl-build" --set-country="COUNTRY" \
    --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \
    --set-org-unit="ORGANIZATION UNIT" --set-email="name@example.com" \
    --set-hostname="susemanager.example.top" --set-cname="example.com"'

    Ensure that the set-cname parameter is the fully qualified domain name of your SUSE Multi-Linux Manager Server. You can use the set-cname parameter multiple times if you require multiple aliases.

    ホスト名とcnameを使用して、各プロキシのサーバ証明書も生成する必要があります。