SSL証明書のインポート

このセクションでは、新しいSUSE ManagerのインストールにSSL証明書を設定する方法、および既存の証明書を置き換える方法について説明します。

開始する前に、以下があることを確認します。

  • 認証局(CA) SSLパブリック証明書。 CAチェーンを使用している場合は、すべての中間CAも使用できる必要があります。

  • SSLサーバ秘密鍵

  • SSLサーバ証明書

すべてのファイルがPEM形式である必要があります。

SSLサーバ証明書のホスト名は、配備先マシンの完全修飾ホスト名と一致している必要があります。 ホスト名は、証明書のX509v3 Subject Alternative Nameセクションで設定できます。 環境で必要な場合は、複数のホスト名を一覧にすることもできます。 サポートされているキーの種類は、RSAEC (Elliptic Curve)です。

サードパーティの機関は通常、中間CAを使用して、要求されたサーバ証明書に署名します。 この場合、チェーン内のすべてのCAが使用できる必要があります。 中間CAを指定するために使用できる追加のパラメータまたはオプションがない場合は、すべてのCA (ルートCAおよび中間CA)が1つのファイルに保存されるように注意してください。

1. 新しいインストール用証明書のインポート

デフォルトで、SUSE Managerは自己署名証明書を使用します。 初期セットアップを完了した後、デフォルトの証明書を、インポートされた証明書に置き換えることができます。

プロシージャ: 新しいSUSE Managerサーバへの証明書のインポート

  1. SUSE Manager 5.0.1サーバの配備の手順に従ってSUSE Managerサーバを配備します。必ず、正しいファイルをパラメータとしてmgradm install podmanに渡してください。パラメータは次のとおりです。

    3rd Party SSL Certificate Flags:
      --ssl-ca-intermediate 文字列   中間CA証明書のパス
      --ssl-ca-root 文字列            ルートCA証明書のパス
      --ssl-server-cert 文字列        サーバ証明書のパス
      --ssl-server-key 文字列         サーバキーのパス

2. 新しいプロキシインストール用の証明書のインポート

デフォルトでは、SUSE Managerプロキシは自己署名証明書を使用します。 初期セットアップを完了した後で、デフォルトの証明書を、インポートされた証明書に置き換えることができます。

プロシージャ: 新しいSUSE Managerプロキシへの証明書のインポート

  1. SUSE Manager 5.0.1プロキシの配備の手順に従ってSUSE Managerプロキシをインストールします。

  2. プロンプトに従ってセットアップを完了します。

サーバとプロキシのすべてのサーバ証明書に署名するには、同じ認証局を使用します。 異なるCAで署名された証明書は一致しません。

3. 証明書を置き換える

SUSE Managerのインストールでアクティブな証明書を新しい証明書に置き換えることができます。 証明書を置き換えるには、インストールされているCA証明書を新しいCAに置き換えてから、データベースを更新します。

プロシージャ: 既存の証明書を置き換える

  1. SUSE Managerサーバのコマンドプロンプトで、コマンドmgr-ssl-cert-setupを呼び出して、パラメータとして証明書を提供します。

    mgrctl exec -- mgr-ssl-cert-setup --root-ca-file=<Path_to_Root_CA_Certificate> --server-cert-file=<Server_Cert_File> --server-key-file=<Server_Key_File>

中間CAは、--root-ca-fileで指定されたファイルで使用することも、--intermediate-ca-fileで追加オプションとして指定することもできます。 --intermediate-ca-fileオプションは複数回指定できます。 このコマンドは、提供されたファイルに対していくつかのテストを実行し、それらが有効であり、要求されたユースケースに使用できるかどうかをテストします。

  1. サービスを再起動して変更を取得します。

    mgrctl exec -- spacewalk-service stop
mgrctl exec -- systemctl restart postgresql.service
mgrctl exec -- spacewalk-service start

プロキシを使用している場合は、各プロキシのホスト名とcnameを使用してサーバ証明書RPMを生成する必要があります。 証明書を置き換えるには、SUSE Managerプロキシでもmgr-ssl-cert-setupを使用する必要があります。 SUSE ManagerプロキシにはPostgreSQLデータベースがないため、spacewalk-service restartのみで十分です。

ルートCAが変更された場合は、SUSE Managerに接続されているすべてのクライアントに配備する必要があります。

プロシージャ: Saltクライアント上のルートCAのデプロイ

  1. SUSE Manager Web UIで、システム  概要に移動します。

  2. すべてのSaltクライアントをチェックして、システムセットマネージャに追加します。

  3. システム  システムセットマネージャ  概要に移動します。

  4. 状態]フィールドで、適用をクリックして、システムの状態を適用します。

  5. highstate]ページで、highstateの適用をクリックして、クライアントに変更を伝播します。