Ovirt와 Let's Encrypt를 친구로 만드는 방법

인프라를 개선하는 과정에서 저는 불필요한 제스처 없이 동료(개발자, 테스터, 관리자 등)가 ovirt에서 가상 머신을 독립적으로 관리할 수 있는 기회를 제공하는 오래되고 고통스러운 질문을 마무리하기로 결정했습니다. Ovirt에는 문제를 해결하기 위해 구성해야 하는 여러 구성 요소(웹 인터페이스 자체, noVNC 콘솔, 디스크 이미지 업로드)가 있습니다.

"Make It Bad" 버튼을 찾을 수 없어서 이 문제를 해결하기 위해 어떤 손잡이를 사용했는지 보여 드리겠습니다. 컷 아래의 전체 지침:

면책 조항 :

시작하기 전에, 제가 알지 못하는 어떤 이유로 인프라 도메인이 LAN, 로컬 등의 개인 영역에 생성된다는 사실에 주목하고 싶습니다.

공개 영역에서 조직의 도메인을 사용하지 못하게 하는 이유가 무엇인지 모르겠습니다. 예를 들어 Alex-GLuck-Awesome-Company.local 도메인 대신 회사 웹사이트 Alex-GLuck-Awesome-Company.com의 도메인을 안전하게 사용할 수 있습니다.

조직의 도메인을 추적할 수 없어 문제가 발생할까 봐 걱정된다면 연간 100루블의 비용으로 aglac.com 인프라를 위한 별도의 도메인을 구입할 수 있습니다.

공개 영역에서 도메인을 사용하는 것이 더 수익성이 높은 이유는 무엇입니까?

1. 귀 기관은 공개적으로 이용 가능한 서비스를 제공합니다. VPN파일 공유 서비스(Seafile, Nextcloud 등)를 비롯한 여러 서비스가 있습니다. 이러한 서비스에서 트래픽 암호화를 설정하는 것은 대개 허술하게 이루어지며, 중간자 공격(MitM) 방어는 어렵다는 이유로 (사실은 어렵지 않지만) 다루지 않을 것입니다.

또는 사무실 내부에 하나의 서비스 주소가 있고 인터넷에 다른 하나의 서비스 주소가 있는데 이러한 연결을 유지해야 하므로 제한된 전문 자원이 낭비됩니다. 글쎄, 직원들은 서로 다른 주소를 기억해야 하는데, 이는 불편합니다.

2. 무료 인증 기관을 사용하여 내부 서비스를 암호화할 수 있습니다.

귀하의 PKI는 무료 인증 기관의 PKI를 사용할 수 있는 기회를 위해 연간 100루블을 지원해야 하는 서비스입니다.

3. 자체 인증 기관을 사용하면 BYOD로 작업하려는 원격 직원과 동료(자신의 노트북, 휴대폰, 태블릿을 가져옴)에게 지시를 내리게 되며 해당 장치를 관리할 수 없습니다. 그들은 Mac, Linux, Android, iOS, Windows를 가져옵니다. 그러한 동물원을 지원할 필요가 없습니다.

물론 모든 것에는 예외가 있으며, 보안 정책을 수립한 다른 가혹한 기업이 있는 은행은 결코 직원 서비스를 개선할 수 없습니다.

이들을 위해 일정 금액으로 CA 인증서에 서명할 수 있는 유료 인증 기관(Google “루트 서명 서비스”)이 있습니다.

공개 도메인을 사용하는 것이 더 수익성이 높은 다른 이유가 있지만(가장 중요한 것은 그것이 귀하의 소유라는 것입니다), 이 기사는 이에 관한 것이 아닙니다.

요점은 ...

주목! Let's Encrypt CA 인증서를 ovirt의 신뢰할 수 있는 목록에 추가하면 시스템 보안에 영향을 미칠 수 있습니다!

가장 먼저 주의해야 할 점은 Ovirt 인터페이스를 인터넷에 노출하는 것은 나쁜 습관이라는 것입니다. 이는 실질적인 의미가 없으며 추가적인 보안 위협을 야기합니다.

따라서 우리의 배스천 호스트 중 하나에서 인증서를 얻은 다음 ovirt-engine을 사용하여 인증서와 키를 호스트로 전송해야 합니다.

ovirt 이름을 사용하여 요새 호스트의 외부 주소를 DNS에 추가합니다. ovirtengine.example.com, certbot 및 nginx 설치는 뒤에서 남겨두겠습니다(이 작업을 수행하는 방법은 이미 Habré에 설명되어 있습니다).

njinx 버전 설정 >=1.15.7

/etc/nginx/conf.d/default.conf

server {
    server_name _;
    listen 80 default_server;
    location /robots.txt { alias /usr/share/nginx/html/robots.txt; }
    location /.well-known {
        root /usr/share/nginx/html;
    }
    location / {
        return 444;
    }
}

server {
    server_name _;
    listen 443 ssl http2 default_server;
    location /robots.txt { alias /usr/share/nginx/html/robots.txt; }
    location /.well-known {
        root /usr/share/nginx/html;
    }

    ssl_certificate /etc/nginx/ssl/$ssl_server_name/fullchain.pem; 
    ssl_certificate_key /etc/nginx/ssl/$ssl_server_name/privkey.pem;

    ssl_protocols TLSv1.2;
    ssl_prefer_server_ciphers on;

    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;

    # позволяем серверу прикреплять OCSP-ответы, тем самым уменьшая время загрузки страниц у пользователей
    ssl_stapling on;
    ssl_stapling_verify on;
    add_header Strict-Transport-Security max-age=15768000;

    location / {
        return 444;
    }
}

그런 다음 인증서와 키를 얻습니다.

certbot certonly --nginx -d ovirtengine.example.com

인증서와 키를 보관하세요.

tar Phczf /tmp/ovirtengine.example.com.tgz /etc/letsencrypt/live/ovirtengine.example.com

배스천 호스트에서 아카이브를 다운로드하고 ovirt 엔진에 업로드합니다:

scp bastion-host:/tmp/ovirtengine.example.com.tgz /tmp/
scp /tmp/ovirtengine.example.com.tgz ovirtengine.example.com:/

목표를 향해 나아가자

다음으로, 파일 위치 시스템에 대한 이해를 단순화하기 위해 아카이브의 압축을 풀고 심볼릭 링크를 만듭니다.

tar Pxzf /ovirtengine.example.com.tgz && rm -f ovirtengine.example.com.tgz
mkdir -p /etc/letsencrypt/live
ln -f -s /etc/letsencrypt/live /etc/pki/letsencrypt

Java 인증서 저장소(openjdk)를 사용하여 인증서를 확인하도록 Ovirt에 내장된 pki를 구성합니다.

cat << EOF > /etc/ovirt-engine/engine.conf.d/99-setup-pki.conf 
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
EOF

CA를 Let's encrypt에서 der 형식으로 변환하고 이를 ovirt Java 신뢰 저장소 인증서 저장소에 추가합니다(이것은 인증서 목록이 포함된 컨테이너이며 Java에서 사용되는 시스템입니다).

openssl x509 -outform der -in /etc/pki/letsencrypt/ovirtengine.example.com/chain.pem -out /tmp/ovirtengine.example.com.chain.der
keytool -import -alias "Let's Encrypt Authority X3" -file /tmp/ovirtengine.example.com.chain.der -keystore /etc/pki/ovirt-engine/.truststore -storepass $(grep '^ENGINE_PKI_TRUST_STORE_PASSWORD' /etc/ovirt-engine/engine.conf.d/10-setup-pki.conf | cut -f 2 -d '"')
rm -f /tmp/ovirtengine.example.com.chain.der

Apache에 대한 SSL 설정을 편집하고, 심볼릭 링크를 지원하는 매개변수를 추가하고, 인증서를 확인할 CA에 대한 매개변수를 제거합니다(기본적으로 신뢰할 수 있는 CA의 시스템 세트가 확인에 사용됩니다).

sed -r -i 's|^(SSLCACertificateFile.*)|#1|g' /etc/httpd/conf.d/ssl.conf
sed -r -i '0,/(^#?SSLCACertificateFile.*)/ s//1nOptions FollowSymlinks/' /etc/httpd/conf.d/ssl.conf

그런 다음 만일을 대비해 ovirt의 자동 PKI를 통해 생성된 원본 파일을 백업하고 이를 Let’s Encrypt의 파일이 포함된 심볼릭 링크로 대체합니다.

ln -f -s /etc/pki/letsencrypt/ovirtengine.example.com/fullchain.pem /etc/pki/ovirt-engine/apache-chain.pem
services=( 'apache' 'imageio-proxy' 'websocket-proxy' )
for i in "${services[@]}"; do
cp /etc/pki/ovirt-engine/certs/$i.cer{,."$( date +%F )".bak}
cp /etc/pki/ovirt-engine/keys/$i.key.nopass{,."$( date +%F )".bak}
ln -f -s /etc/pki/letsencrypt/ovirtengine.example.com/privkey.pem /etc/pki/ovirt-engine/keys/$i.key.nopass
ln -f -s /etc/pki/letsencrypt/ovirtengine.example.com/cert.pem /etc/pki/ovirt-engine/certs/{apache,imageio-proxy,websocket-proxy}.cer
done

파일에서 SElinux 컨텍스트를 복원하고 서비스(httpd, ovirt-engine, ovirt-imageio-proxy, ovirt-websocket-proxy)를 다시 시작합니다.

restorecon -Rv /etc/pki
systemctl restart httpd ovirt-engine ovirt-imageio-proxy ovirt-websocket-proxy

httpd — 웹 서버 아파치
ovirt-engine - ovirt 웹 인터페이스
ovirt-imageio-proxy - 디스크 이미지 다운로드용 데몬
ovirt-websocket-proxy - noVNC 콘솔 실행을 위한 서비스

위의 모든 내용은 Ovirt 버전 4.2에서 테스트되었습니다.

ovirt에서 인증서 자동 갱신

올바른 보안 관행에 따르면 배스천 호스트와 ovirt 사이에는 연결이 없어야 하며 인증서는 3개월 동안만 발급됩니다. 여기서 인증서 갱신을 어떻게 구현했는지에 대한 논란의 여지가 있는 문제가 발생합니다.

나는 일정에 따라 매일 오전 5시에 포먼에서 실행되는 Ansible 플레이북을 가지고 있습니다. 이 플레이북은 ovirt로 가서 인증서의 유효 기간을 확인하고 만료까지 5일 미만 남았을 경우 배스천 호스트로 가서 인증서 업데이트를 시작합니다.

인증서를 업데이트한 후 해당 폴더를 파일과 함께 보관하고 Forman 호스트에 다운로드한 후 Ovirt 호스트에 압축을 풉니다. 그런 다음 SElinux는 파일의 컨텍스트를 복원하고 서비스를 다시 시작합니다.

출처 : habr.com