SSL証明書のインポート
このセクションでは、新しいSUSE ManagerのインストールにSSL証明書を設定する方法、および既存の証明書を置き換える方法について説明します。
開始する前に、以下があることを確認します。
-
認証局(CA) SSLパブリック証明書。 CAチェーンを使用している場合は、すべての中間CAも使用できる必要があります。
-
SSLサーバ秘密鍵
-
SSLサーバ証明書
すべてのファイルがPEM形式である必要があります。
SSLサーバ証明書のホスト名は、配備先マシンの完全修飾ホスト名と一致している必要があります。 ホスト名は、証明書のX509v3 Subject Alternative Name
セクションで設定できます。 環境で必要な場合は、複数のホスト名を一覧にすることもできます。 サポートされているキーの種類は、RSA
とEC
(Elliptic Curve)です。
サードパーティの機関は通常、中間CAを使用して、要求されたサーバ証明書に署名します。 この場合、チェーン内のすべてのCAが使用できる必要があります。 中間CAを指定するために使用できる追加のパラメータまたはオプションがない場合は、すべてのCA (ルートCAおよび中間CA)が1つのファイルに保存されるように注意してください。
1. 新しいインストール用証明書のインポート
デフォルトで、SUSE Managerは自己署名証明書を使用します。 初期セットアップを完了した後、デフォルトの証明書を、インポートされた証明書に置き換えることができます。
-
インストールの手順に従って、SUSE Managerサーバをインストールします。
-
SUSE Managerのサーバ設定に従って、初期セットアップを完了します。
-
コマンドプロンプトで、SSL環境変数に証明書ファイルの場所を指定します。
export CA_CERT=<path_to_CA_certificates_file> export SERVER_KEY=<path_to_web_server_key> export SERVER_CERT=<path_to_web_server_certificate>
-
SUSE Managerのセットアップを完了します。
yast susemanager_setup
セットアップ中に証明書の詳細を入力するように求められたら、ランダムな値を入力します。 これらの値はコマンドプロンプトで指定した値で上書きされます。
環境変数をエクスポートしたのと同じシェルから |
2. 新しいプロキシインストール用の証明書のインポート
デフォルトでは、SUSE Managerプロキシは自己署名証明書を使用します。 初期セットアップを完了した後で、デフォルトの証明書を、インポートされた証明書に置き換えることができます。
-
インストールの手順に従って、SUSE Managerプロキシをインストールします。
-
SUSE Managerのプロキシ設定に従って、初期セットアップを完了します。
-
コマンドプロンプトで、次のコマンドを実行します。
configure-proxy.sh
-
[
Do you want to import existing certificates?
](既存の証明書をインポートしますか?)プロンプトが表示されたら、「y」と入力します。 -
プロンプトに従ってセットアップを完了します。
サーバとプロキシのすべてのサーバ証明書に署名するには、同じ認証局を使用します。 異なるCAで署名された証明書は一致しません。 |
3. 証明書を置き換える
SUSE Managerのインストールでアクティブな証明書を新しい証明書に置き換えることができます。 証明書を置き換えるには、インストールされているCA証明書を新しいCAに置き換えてから、データベースを更新します。
-
SUSE Managerサーバのコマンドプロンプトで、コマンド
mgr-ssl-cert-setup
を呼び出して、パラメータとして証明書を提供します。mgr-ssl-cert-setup --root-ca-file=<Path_to_Root_CA_Certificate> --server-cert-file=<Server_Cert_File> --server-key-file=<Server_Key_File>
中間CAは、--root-ca-file
で指定されたファイルで使用することも、--intermediate-ca-file
で追加オプションとして指定することもできます。 --intermediate-ca-file
オプションは複数回指定できます。 このコマンドは、提供されたファイルに対していくつかのテストを実行し、それらが有効であり、要求されたユースケースに使用できるかどうかをテストします。
-
サービスを再起動して変更を取得します。
spacewalk-service stop systemctl restart postgresql.service spacewalk-service start
プロキシを使用している場合は、各プロキシのホスト名とcnameを使用してサーバ証明書RPMを生成する必要があります。 証明書を置き換えるには、SUSE Managerプロキシでもmgr-ssl-cert-setup
を使用する必要があります。 SUSE ManagerプロキシにはPostgreSQLデータベースがないため、spacewalk-service restart
のみで十分です。
ルートCAが変更された場合は、SUSE Managerに接続されているすべてのクライアントに配備する必要があります。
-
SUSE Manager Web UIで、
に移動します。 -
すべてのSaltクライアントをチェックして、システムセットマネージャに追加します。
-
に移動します。
-
[
状態
]フィールドで、適用をクリックして、システムの状態を適用します。 -
[
highstate
]ページで、highstateの適用をクリックして、クライアントに変更を伝播します。
3.1. 従来のクライアントの追加処理
従来のクライアントは非推奨であり、Saltクライアントに置き換える必要があります。
SUSE Managerに接続されている従来の管理対象クライアントがまだ存在する場合にCAを置き換える必要がある場合は、いくつかの追加ステップが必要です。
重要なことは、SUSE Managerサーバおよびプロキシで新しいCAが有効にされても、クライアントが切断されないことです。 「古い」ルートCA証明書と「新しい」ルートCA証明書を影響を受けるクライアントに配備し、それらを信頼します。 設定チャンネルを使用して証明書ファイルをクライアントに配備し、リモートコマンド機能を使用してtrust storeを再生成します。
SUSE Managerサーバおよびプロキシで新しい証明書を有効にした後、接続が機能しているかどうか、およびクライアントでアクションをスケジュールできるかどうかをテストします。 この場合、「古い」ルートCAをクライアントから削除できます。