Обновления SSL-сертификатов для сервисов OVN на Hosted HOSTVM Manager

Процедура выполняется на управляющей машине Hosted Manager для сертификатов ovirt-provider-ovn, ovn-ndb и ovn-sdb .

Перед генерацией новых сертификатов необходимо определить subject текущих, чтобы новые сертификаты были выпущены с такими же данными

openssl x509 -in /etc/pki/ovirt-engine/certs/ovirt-provider-ovn.cer -noout -subject

Пример вывода:

subject=C = US, O = hostvm.local, CN = engine.hostvm.local

Запомните или запишите полученное значение. Оно понадобится на следующем шаге в преобразованном формате.

Сгенерируйте новые сертификаты используя полученное значение subject, преобразовав его формат из type = value в /type=value. Пароль --password=mypass должен оставаться неизменным.

/usr/share/ovirt-engine/bin/pki-enroll-pkcs12.sh --name="ovirt-provider-ovn" --password=mypass --subject="/C=US/O=hostvm.local/CN=engine.hostvm.local" --keep-key
/usr/share/ovirt-engine/bin/pki-enroll-pkcs12.sh --name="ovn-ndb" --password=mypass --subject="/C=US/O=hostvm.local/CN=engine.hostvm.local" --keep-key
/usr/share/ovirt-engine/bin/pki-enroll-pkcs12.sh --name="ovn-sdb" --password=mypass --subject="/C=US/O=hostvm.local/CN=engine.hostvm.local" --keep-key

Важные примечания:

• Параметр --password=mypass должен быть именно таким, как указано.

• Поле --subject должно быть в формате: /type0=value0/type1=value1/type2=...

• Флаг --keep-key гарантирует, что при перевыпуске сертификата будет использован существующий приватный ключ.

После успешной генерации новых сертификатов необходимо перезапустить связанные сервисы, чтобы они начали использовать обновленные сертификаты.

systemctl restart ovirt-provider-ovn.service
systemctl restart ovn-northd.service

После выполнения этих действий обновление сертификатов OVS будет завершено.