Обновления SSL-сертификатов для сервисов OVN на Hosted HOSTVM Manager
Данное руководство описывает процесс обновления SSL-сертификатов для сервисов OVN, используемых в качестве сетевого провайдера в системе HOSTVM.
Процедура выполняется на управляющей машине Hosted Manager для сертификатов ovirt-provider-ovn, ovn-ndb и ovn-sdb .
Перед генерацией новых сертификатов необходимо определить subject текущих, чтобы новые сертификаты были выпущены с такими же данными
openssl x509 -in /etc/pki/ovirt-engine/certs/ovirt-provider-ovn.cer -noout -subjectПример вывода:
subject=C = US, O = hostvm.local, CN = engine.hostvm.localЗапомните или запишите полученное значение. Оно понадобится на следующем шаге в преобразованном формате.
Сгенерируйте новые сертификаты используя полученное значение subject, преобразовав его формат из type = value в /type=value. Пароль --password=mypass должен оставаться неизменным.
/usr/share/ovirt-engine/bin/pki-enroll-pkcs12.sh --name="ovirt-provider-ovn" --password=mypass --subject="/C=US/O=hostvm.local/CN=engine.hostvm.local" --keep-key
/usr/share/ovirt-engine/bin/pki-enroll-pkcs12.sh --name="ovn-ndb" --password=mypass --subject="/C=US/O=hostvm.local/CN=engine.hostvm.local" --keep-key
/usr/share/ovirt-engine/bin/pki-enroll-pkcs12.sh --name="ovn-sdb" --password=mypass --subject="/C=US/O=hostvm.local/CN=engine.hostvm.local" --keep-keyВажные примечания:
Параметр
--password=mypassдолжен быть именно таким, как указано.Поле
--subjectдолжно быть в формате:/type0=value0/type1=value1/type2=...Флаг
--keep-keyгарантирует, что при перевыпуске сертификата будет использован существующий приватный ключ.
После успешной генерации новых сертификатов необходимо перезапустить связанные сервисы, чтобы они начали использовать обновленные сертификаты.
systemctl restart ovirt-provider-ovn.service
systemctl restart ovn-northd.serviceПосле выполнения этих действий обновление сертификатов OVS будет завершено.
Last updated
Was this helpful?