របៀបបង្កើតមិត្ត Ovirt និង Let's Encrypt

ដើរតាមផ្លូវនៃការកែលម្អហេដ្ឋារចនាសម្ព័ន្ធ ខ្ញុំបានសម្រេចចិត្តបញ្ចប់សំណួរបុរាណ និងឈឺចាប់ - ដោយគ្មានកាយវិការមិនចាំបាច់ ផ្តល់ឱកាសសម្រាប់សហការី (អ្នកអភិវឌ្ឍន៍ អ្នកសាកល្បង អ្នកគ្រប់គ្រង។ល។) ដើម្បីគ្រប់គ្រងម៉ាស៊ីននិម្មិតរបស់ពួកគេដោយឯករាជ្យ។ Ovirt មានសមាសធាតុជាច្រើនដែលចាំបាច់ត្រូវកំណត់រចនាសម្ព័ន្ធដើម្បីដោះស្រាយបញ្ហារបស់ខ្ញុំ៖ ចំណុចប្រទាក់បណ្ដាញខ្លួនវា កុងសូល noVNC និងការបង្ហោះរូបភាពថាស។

ខ្ញុំមិនបានរកឃើញប៊ូតុង “Make It Bad” ទេ ដូច្នេះខ្ញុំកំពុងបង្ហាញអ្នកនូវប៊ូតុងមួយណាដែលខ្ញុំបានប្រែក្លាយដើម្បីដោះស្រាយបញ្ហានេះ។ ការណែនាំពេញលេញខាងក្រោមកាត់៖

ការបដិសេធ:

មុនពេលចាប់ផ្តើម ខ្ញុំចង់ទាក់ទាញការយកចិត្តទុកដាក់របស់អ្នកចំពោះការពិតដែលថាសម្រាប់ហេតុផលមួយចំនួនដែលមិនស្គាល់ចំពោះខ្ញុំ ដែនហេដ្ឋារចនាសម្ព័ន្ធត្រូវបានបង្កើតឡើងនៅក្នុងតំបន់ឯកជន ឡាន ក្នុងស្រុក និងដូច្នេះនៅលើ។

ខ្ញុំមិនដឹងថាអ្វីដែលរារាំងខ្ញុំពីការប្រើប្រាស់ដែនរបស់ស្ថាប័ននៅក្នុងតំបន់សាធារណៈនោះទេ។ ឧទាហរណ៍ ជំនួសឱ្យដែន Alex-GLuck-Awesome-Company.local អ្នកអាចប្រើដែនសម្រាប់គេហទំព័ររបស់ក្រុមហ៊ុន Alex-GLuck-Awesome-Company.com ដោយសុវត្ថិភាព។

ប្រសិនបើអ្នកខ្លាចថាអ្នកនឹងមិនអាចតាមដានដែននៅក្នុងស្ថាប័នរបស់អ្នក ហើយវានឹងធ្វើឱ្យខូចអ្វីមួយ បន្ទាប់មកសម្រាប់ 100 rubles តិចតួចក្នុងមួយឆ្នាំ អ្នកអាចទិញដែនដាច់ដោយឡែកសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធ aglac.com ។

ហេតុអ្វីបានផលចំណេញច្រើនជាងក្នុងការប្រើប្រាស់ដែននៅក្នុងតំបន់សាធារណៈ៖

១. អង្គការរបស់អ្នកមានសេវាកម្មដែលអាចចូលប្រើប្រាស់បានជាសាធារណៈ៖ vpn, ការចែករំលែកឯកសារ (seafile, nextcloud) និងផ្សេងៗទៀត។ ការដំឡើងការអ៊ិនគ្រីបចរាចរណ៍លើសេវាកម្មបែបនេះជាធម្មតាគឺជាការខិតខំប្រឹងប្រែងបន្តិចបន្តួច ហើយយើងនឹងមិនការពារប្រឆាំងនឹងការវាយប្រហាររបស់ MitM ទេ ពីព្រោះវាពិបាក (មិនមែនពិតជាពិបាកទេ)។

ឬអ្នកមានអាសយដ្ឋានសេវាកម្មមួយនៅក្នុងការិយាល័យ និងមួយទៀតពីអ៊ីនធឺណិត ហើយការភ្ជាប់ទាំងនេះត្រូវតែរក្សា ដែលធ្វើឱ្យខ្ជះខ្ជាយធនធានឯកទេសដែលមានកម្រិតរបស់យើង។ ជាការប្រសើរណាស់ និយោជិតត្រូវចងចាំអាសយដ្ឋានផ្សេងៗគ្នា ដែលវាមានការរអាក់រអួល។

2. អ្នកអាចប្រើអាជ្ញាធរវិញ្ញាបនបត្រដោយឥតគិតថ្លៃដើម្បីអ៊ិនគ្រីបសេវាកម្មខាងក្នុងរបស់អ្នក។

PKI ផ្ទាល់ខ្លួនរបស់អ្នកគឺជាសេវាកម្មដែលត្រូវការជំនួយ; 100 rubles ក្នុងមួយឆ្នាំសម្រាប់ឱកាសប្រើ PKI ពីអាជ្ញាធរបញ្ជាក់ដោយឥតគិតថ្លៃច្រើនជាងការបង់ប្រាក់សម្រាប់ពេលវេលារបស់និយោជិតដែលអាចចំណាយវាលើការងារផ្សេងទៀត។

3. នៅពេលប្រើអាជ្ញាធរវិញ្ញាបនបត្រផ្ទាល់ខ្លួនរបស់អ្នក អ្នកនឹងដាក់សុន្ទរកថារបស់បុគ្គលិក និងសហការីពីចម្ងាយរបស់អ្នកដែលចង់ធ្វើការជាមួយ BYOD (នាំយកកុំព្យូទ័រយួរដៃ ទូរស័ព្ទ ថេប្លេតផ្ទាល់ខ្លួនរបស់ពួកគេ) ហើយអ្នកមិនអាចគ្រប់គ្រងឧបករណ៍របស់ពួកគេបានទេ។ ពួកគេបាននាំយក Macs, Linux, Androids, iOS, Windows - វាគ្មានចំណុចណាមួយក្នុងការគាំទ្រសួនសត្វបែបនេះទេ។

នៅក្នុងអ្វីគ្រប់យ៉ាង ពិតណាស់មានករណីលើកលែង ហើយធនាគារដែលមានសហគ្រាសដ៏អាក្រក់ផ្សេងទៀតដែលបានបង្កើតគោលនយោបាយសន្តិសុខនឹងមិនអាចកែលម្អសេវាកម្មសម្រាប់បុគ្គលិករបស់ពួកគេបានទេ។

សម្រាប់ពួកគេ មានអាជ្ញាធរចេញវិញ្ញាបនប័ត្របង់ប្រាក់ដែលអាចចុះហត្ថលេខាលើវិញ្ញាបនបត្រ CA របស់ពួកគេក្នុងចំនួនជាក់លាក់មួយ (Google "សេវាចុះហត្ថលេខាជា root") ។

មានហេតុផលផ្សេងទៀតថាហេតុអ្វីបានជាវាមានផលចំណេញច្រើនជាងក្នុងការប្រើប្រាស់ដែនសាធារណៈ (អ្វីដែលសំខាន់បំផុតនោះគឺថាវាជារបស់អ្នក) ប៉ុន្តែអត្ថបទនេះមិនមែននិយាយអំពីរឿងនោះទេ។

ចំណុចគឺ...

យកចិត្តទុកដាក់! ប្រសិនបើអ្នកបន្ថែមវិញ្ញាបនបត្រ Let's Encrypt CA ទៅបញ្ជីដែលអាចទុកចិត្តបានរបស់ ovirt វាអាចប៉ះពាល់ដល់សុវត្ថិភាពនៃប្រព័ន្ធរបស់អ្នក!

រឿងដំបូងដែលអ្នកត្រូវយកចិត្តទុកដាក់គឺថាការលាតត្រដាងចំណុចប្រទាក់ Ovirt ទៅអ៊ីនធឺណិតគឺជាការអនុវត្តមិនល្អ ពីព្រោះ វាគ្មានន័យជាក់ស្តែងទេ ហើយបង្កើតការគំរាមកំហែងផ្នែកសន្តិសុខបន្ថែម។

ដូច្នេះ អ្នកត្រូវទទួលបានវិញ្ញាបនបត្រនៅលើម៉ាស៊ីនបម្រើបន្ទាយរបស់យើងមួយ ហើយបន្ទាប់មកផ្ទេរវិញ្ញាបនបត្រ និងសោទៅកាន់ម៉ាស៊ីនរបស់យើងដោយប្រើម៉ាស៊ីនអូវ័រ។

យើងបន្ថែមអាសយដ្ឋានខាងក្រៅនៃម៉ាស៊ីនបន្ទាយរបស់យើងទៅ dns ជាមួយនឹងឈ្មោះ ovirt របស់យើង។ ovirtengine.example.comខ្ញុំនឹងទុកការដំឡើង certbot និង nginx នៅពីក្រោយឆាក (របៀបធ្វើនេះត្រូវបានពិពណ៌នារួចហើយនៅលើHabré)។

ការដំឡើងកំណែ njinx >=1.15.7

/etc/nginx/conf.d/default.conf

server {
    server_name _;
    listen 80 default_server;
    location /robots.txt { alias /usr/share/nginx/html/robots.txt; }
    location /.well-known {
        root /usr/share/nginx/html;
    }
    location / {
        return 444;
    }
}

server {
    server_name _;
    listen 443 ssl http2 default_server;
    location /robots.txt { alias /usr/share/nginx/html/robots.txt; }
    location /.well-known {
        root /usr/share/nginx/html;
    }

    ssl_certificate /etc/nginx/ssl/$ssl_server_name/fullchain.pem; 
    ssl_certificate_key /etc/nginx/ssl/$ssl_server_name/privkey.pem;

    ssl_protocols TLSv1.2;
    ssl_prefer_server_ciphers on;

    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;

    # позволяем серверу прикреплять OCSP-ответы, тем самым уменьшая время загрузки страниц у пользователей
    ssl_stapling on;
    ssl_stapling_verify on;
    add_header Strict-Transport-Security max-age=15768000;

    location / {
        return 444;
    }
}

បន្ទាប់មកយើងទទួលបានវិញ្ញាបនបត្រ និងសោររបស់យើង៖

certbot certonly --nginx -d ovirtengine.example.com

រក្សាទុកវិញ្ញាបនបត្រ និងសោររបស់យើង៖

tar Phczf /tmp/ovirtengine.example.com.tgz /etc/letsencrypt/live/ovirtengine.example.com

ទាញយកប័ណ្ណសារពី bastion host ហើយបញ្ចូលវាទៅក្នុងម៉ាស៊ីន ovirt របស់យើង៖

scp bastion-host:/tmp/ovirtengine.example.com.tgz /tmp/
scp /tmp/ovirtengine.example.com.tgz ovirtengine.example.com:/

ចូរយើងបន្តទៅកាន់គោលដៅ

បន្ទាប់មក យើងពន្លាប័ណ្ណសាររបស់យើង ហើយបង្កើតតំណភ្ជាប់សញ្ញា ដើម្បីសម្រួលការយល់ដឹងអំពីប្រព័ន្ធទីតាំងឯកសារ៖

tar Pxzf /ovirtengine.example.com.tgz && rm -f ovirtengine.example.com.tgz
mkdir -p /etc/letsencrypt/live
ln -f -s /etc/letsencrypt/live /etc/pki/letsencrypt

យើងកំណត់រចនាសម្ព័ន្ធ pki ដែលភ្ជាប់មកជាមួយក្នុង Ovirt ដូច្នេះ ឃ្លាំងវិញ្ញាបនបត្រ java (openjdk) ត្រូវបានប្រើដើម្បីផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ៖

cat << EOF > /etc/ovirt-engine/engine.conf.d/99-setup-pki.conf 
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
EOF

យើងបំប្លែង CA ពី Let's encrypt ទៅជាទម្រង់ der ហើយបន្ថែមវាទៅក្នុង ovirt java trust store certificate store (នេះគឺជាកុងតឺន័រដែលមានបញ្ជីវិញ្ញាបនបត្រ ប្រព័ន្ធបែបនេះត្រូវបានប្រើក្នុង java)៖

openssl x509 -outform der -in /etc/pki/letsencrypt/ovirtengine.example.com/chain.pem -out /tmp/ovirtengine.example.com.chain.der
keytool -import -alias "Let's Encrypt Authority X3" -file /tmp/ovirtengine.example.com.chain.der -keystore /etc/pki/ovirt-engine/.truststore -storepass $(grep '^ENGINE_PKI_TRUST_STORE_PASSWORD' /etc/ovirt-engine/engine.conf.d/10-setup-pki.conf | cut -f 2 -d '"')
rm -f /tmp/ovirtengine.example.com.chain.der

យើងកែសម្រួលការកំណត់ SSL សម្រាប់ apache បន្ថែមប៉ារ៉ាម៉ែត្រដើម្បីគាំទ្រ symlinks និងលុបប៉ារ៉ាម៉ែត្រសម្រាប់ CA ដែលត្រូវពិនិត្យវិញ្ញាបនបត្រ (តាមលំនាំដើម សំណុំប្រព័ន្ធនៃ CAs ដែលអាចទុកចិត្តបាននឹងត្រូវបានប្រើសម្រាប់ការផ្ទៀងផ្ទាត់):

sed -r -i 's|^(SSLCACertificateFile.*)|#1|g' /etc/httpd/conf.d/ssl.conf
sed -r -i '0,/(^#?SSLCACertificateFile.*)/ s//1nOptions FollowSymlinks/' /etc/httpd/conf.d/ssl.conf

បន្ទាប់មក យើងបម្រុងទុកឯកសារដើមដែលបានបង្កើតតាមរយៈ PKI ស្វ័យប្រវត្តិរបស់ ovirt ហើយជំនួសពួកវាដោយតំណភ្ជាប់និមិត្តសញ្ញាជាមួយឯកសារពី Let's Encrypt៖

ln -f -s /etc/pki/letsencrypt/ovirtengine.example.com/fullchain.pem /etc/pki/ovirt-engine/apache-chain.pem
services=( 'apache' 'imageio-proxy' 'websocket-proxy' )
for i in "${services[@]}"; do
cp /etc/pki/ovirt-engine/certs/$i.cer{,."$( date +%F )".bak}
cp /etc/pki/ovirt-engine/keys/$i.key.nopass{,."$( date +%F )".bak}
ln -f -s /etc/pki/letsencrypt/ovirtengine.example.com/privkey.pem /etc/pki/ovirt-engine/keys/$i.key.nopass
ln -f -s /etc/pki/letsencrypt/ovirtengine.example.com/cert.pem /etc/pki/ovirt-engine/certs/{apache,imageio-proxy,websocket-proxy}.cer
done

យើងស្ដារបរិបទ SElinux នៅលើឯកសារ ហើយចាប់ផ្តើមសេវាកម្មរបស់យើងឡើងវិញ (httpd, ovirt-engine, ovirt-imageio-proxy, ovirt-websocket-proxy)៖

restorecon -Rv /etc/pki
systemctl restart httpd ovirt-engine ovirt-imageio-proxy ovirt-websocket-proxy

httpd — ម៉ាស៊ីនបម្រើបណ្ដាញ apache
ovirt-engine - ចំណុចប្រទាក់បណ្តាញ ovirt
ovirt-imageio-proxy - ដេមិនសម្រាប់ទាញយករូបភាពថាស
ovirt-websocket-proxy - សេវាកម្មសម្រាប់ដំណើរការកុងសូល noVNC

ទាំងអស់ខាងលើត្រូវបានសាកល្បងនៅលើ Ovirt កំណែ 4.2 ។

ការបន្តដោយស្វ័យប្រវត្តិនៃវិញ្ញាបនបត្រនៅលើ ovirt

យោងទៅតាមការអនុវត្តសុវត្ថិភាពល្អ មិនគួរមានទំនាក់ទំនងរវាង bastion host និង ovirt ទេ ហើយវិញ្ញាបនបត្រត្រូវបានចេញត្រឹមតែ 3 ខែប៉ុណ្ណោះ។ នេះគឺជាកន្លែងដែលបញ្ហាចម្រូងចម្រាសកើតឡើងអំពីរបៀបដែលខ្ញុំបានអនុវត្តការបន្តវិញ្ញាបនបត្រ។

ខ្ញុំ​មាន​សៀវភៅ​លេង​ដែល​អាច​ប្រើ​បាន​ដែល​ដំណើរការ​លើ​ប្រធាន​ក្រុម​ជា​រៀង​រាល់​ថ្ងៃ​នៅ​ម៉ោង ៥ ព្រឹក តាម​កាលវិភាគ។ សៀវភៅលេងនេះទៅ ovirt ពិនិត្យរយៈពេលសុពលភាពនៃវិញ្ញាបនបត្រ ហើយប្រសិនបើនៅសល់តិចជាង 5 ថ្ងៃមុនពេលផុតកំណត់ វានឹងទៅកាន់ bastion host ហើយចាប់ផ្តើមធ្វើបច្ចុប្បន្នភាពវិញ្ញាបនបត្រ។

បន្ទាប់ពីធ្វើបច្ចុប្បន្នភាពវិញ្ញាបនបត្រ វារក្សាទុកថតឯកសារដោយទាញយកវាទៅម៉ាស៊ីន Forman ហើយពន្លាវាទៅម៉ាស៊ីន Ovirt ។ បន្ទាប់ពីនោះ SElinux ស្ដារបរិបទនៅលើឯកសារ ហើយចាប់ផ្តើមសេវាកម្មរបស់យើងឡើងវិញ។

ប្រភព: www.habr.com