Come generare un certificato autofirmato in ZMC

Questo articolo è per Amanda Enterprise (AE) e ZRM per MySQL (ZRM)

Tipo di informazioni: Suggerimento

Descrizione info:

  1. Sposta le chiavi esistenti:
# mkdir / root / ZMC_old_certs # mv / opt / zmanda / amanda / apache2 / conf / certs / * / root / ZMC_old_certs
  1. Crea una coppia di chiavi pubblica / privata inserendo i comandi mostrati in grassetto di seguito. Immettere una passphrase sicura (almeno 8 caratteri, alfanumerici) quando richiesto. È necessario immettere la stessa chiave due volte per la verifica:
# cd / opt / zmanda / amanda / apache2 / conf / certs # / opt / zmanda / amanda / common / bin / openssl genrsa -des3 -out ZMC-server.key 1024 Generazione della chiave privata RSA, modulo lungo 1024 bit ... ............. ++++++. .................................................. ..... ++++++ e è 65537 (0x10001) Inserisci passphrase per ZMC-server.key: Verifica - Inserisci passphrase per ZMC-server.key:
  1. Crea una richiesta di firma del certificato. Rispondere a tutte le richieste non appena vengono visualizzate.
# /opt/zmanda/amanda/common/bin/openssl req -new -key ZMC-server.key -out ZMC-server.csr Inserisci la passphrase per ZMC-server.key: stai per essere chiesto di inserire le informazioni che sarà incorporato nella tua richiesta di certificato. Quello che stai per inserire è quello che viene chiamato Distinguished Name o DN. Ci sono molti campi ma puoi lasciare alcuni campi vuoti Per alcuni campi ci sarà un valore predefinito, Se inserisci '.', il campo verrà lasciato vuoto. ----- Nome paese (codice a 2 lettere) [GB]: Nome stato o provincia CA (nome completo) [Berkshire]: Nome località Sunnyvale (es. città) [Newbury]: Nome organizzazione Sunnyvale (es. azienda) [ My Company Ltd]:Zmanda.Inc Nome dell'unità organizzativa (ad esempio, sezione) []:support Nome comune (ad esempio, il tuo nome o il nome host del tuo server) []:Indirizzo e-mail ZMC []:support@zmanda.com Inserisci quanto segue attributi 'extra' Da inviare con la tua richiesta di certificato Una password di sfida []:zmanda Un nome di azienda facoltativo []:zmanda
  1. Genera un certificato autofirmato. Quando viene richiesta una passphrase, immettere la passphrase immessa durante la creazione della chiave. L'esempio mostra la creazione di un certificato che dura cinque anni (1825 giorni); è possibile immettere un valore diverso se lo si desidera.
# /opt/zmanda/amanda/common/bin/openssl x509 -req -days 1825 -in ZMC-server.csr -signkey ZMC-server.key -out ZMC-server.crt Firma ok soggetto=/C=CA/ST =Sunnyvale/L=Sunnyvale/O=Zmanda.Inc/OU=support/CN=ZMC/ emailAddress=support@zmanda.com Ottenere la chiave privata Immettere la passphrase per ZMC-server.key:
  1. Il certificato deve essere modificato per utilizzare una chiave senza passphrase per evitare che venga richiesta la password e per consentire l'integrazione con ZMC. Quando viene richiesta una passphrase, immettere la passphrase immessa durante la creazione della chiave. L'esempio mostra la rimozione di una passphrase dal certificato creato in precedenza.
# mv ZMC-server.key ZMC-server.key.has-passphrase # / opt / zmanda / amanda / common / bin / openssl rsa -in ZMC-server.key.has-passphrase -out ZMC-server.key
  1. Modificare le autorizzazioni in modo che la chiave possa essere letta solo da root.
# chmod 400 ZMC-server.chiave
  1. Riavvia ZMC. Immettere la passphrase quando richiesto.
# /etc/init.d/zmc_aee restart o /etc/init.d/zmc_zrm restart Arresto di /etc/init.d/zmc: prg: zmc_parser. pid: 15844 prg: zmc_dblogger. pid: 15843 prg: backup_monitor. pid: 15845 prg: rss2event. pid: 15846 prg: zmc_eventserver. pid: 15828 / usr / sbin / setenforce: SELinux è disabilitato /opt/zmanda/amanda//zmandactl.sh: httpd ha arrestato il server ARRESTO dal file pid /opt/zmanda/amanda/mysql/data/mysqld.pid 080509 13:28 : 07 mysqld terminato /opt/zmanda/amanda//zmandactl.sh: mysql arrestato / usr / sbin / setenforce: SELinux è disabilitato Avviare /etc/init.d/zmc: / usr / sbin / setenforce: SELinux è disabilitato / opt /zmanda/amanda//zmandactl.sh: mysql ha avviato nohup: reindirizzare stderr a stdout Avvio daemon mysqld con database da / opt / zmanda / amanda / mysql / data / httpd: Impossibile determinare il nome di dominio completo del server, utilizzando 127.0.0.1. 127.0.0.1 per ServerName Sintassi OK httpd: Impossibile determinare il nome di dominio completo del server, utilizzando 2.0.59 per ServerName Apache / 2.0.59 mod_ssl / 127.0.0.1 (finestra di dialogo passphrase) Alcuni dei file della chiave privata sono crittografati per motivi di sicurezza. Per leggerli devi fornirci le passphrase. Server 443:2 (RSA) Immetti passphrase: Ok: dialogo passphrase riuscito. /opt/zmanda/amanda//zmandactl.sh: httpd avviato / usr / sbin / setenforce: SELinux è disabilitato / usr / sbin / amcleanup: nessun file di log non elaborato da pulire. / usr / sbin / amcleanup: nessun file di log non elaborato da pulire. Verifica dello stato dei servizi ZMC ... EventServer non è in esecuzione. DbLogger non è in esecuzione. Il parser non è in esecuzione. Backup_monitor non è in esecuzione. Rss2event non è in esecuzione. Avvio di EventServer. Avvio del parser. Avvio di backup_monitor. Avvio di rssXNUMXevent. Avvio di dblogger.