เบเปเบฒเบเปเบเบเบฒเบกเปเบชเบฑเปเบเบเบฒเบเบเบญเบเบเบฒเบเบเบฑเบเบเบธเบเปเบเบเบชเปเบฒเบเบเบทเปเบเบเบฒเบ, เบเปเบฒเบเบฐเปเบเบปเปเบฒเปเบเปเบเบฑเบเบชเบดเบเปเบเบเบปเบเบเปเบฒเบเบฒเบกเบเบตเปเปเบเบปเปเบฒเปเบเปเปเบฅเบฐเปเบเบฑเบเบเบงเบ - เปเบเบเบเปเปเบกเบตเบเปเบฒเบเบฒเบเบเบตเปเบเปเปเบเปเบฒเปเบเบฑเบ, เปเบซเปเปเบญเบเบฒเบเบชเปเบฒเบฅเบฑเบเปเบเบทเปเบญเบเบฎเปเบงเบกเบเบฒเบ (เบเบนเปเบเบฑเบเบเบฐเบเบฒ, เบเบนเปเบเบปเบเบชเบญเบ, เบเบนเปเบเปเบฅเบดเบซเบฒเบ, เปเบฅเบฐเบญเบทเปเบเป) เปเบเบทเปเบญเบเบธเปเบกเบเบญเบเปเบเบทเปเบญเบเบเบฑเบ virtual เบเบญเบเปเบเบปเบฒเปเบเบปเปเบฒเบขเปเบฒเบเปเบเบฑเบเบญเบดเบเบชเบฐเบซเบผเบฐเปเบ ovirt. Ovirt เบกเบตเบญเบปเบเบเบฐเบเบญเบเบเปเบฒเบเบงเบเบซเบเบถเปเบเบเบตเปเบเปเบญเบเปเบเปเบฎเบฑเบเบเบฒเบเบเบฑเปเบเบเปเบฒเปเบเบทเปเบญเปเบเปเปเบเบเบฑเบเบซเบฒเบเบญเบเบเปเบญเบ: เบเบฒเบเปเบเปเบเบญเบเบเบญเบเปเบงเบฑเบเบเบญเบเบกเบฑเบเปเบญเบ, noVNC console เปเบฅเบฐเบเบฒเบเบญเบฑเบเปเบซเบฅเบเบฎเบนเบเบเบฒเบเปเบเปเบเปเบ.
เบเปเบญเบเบเปเปเบเบปเบเบเบธเปเบก "เปเบฎเบฑเบเปเบซเปเบกเบฑเบเบเปเปเบเบต", เบชเบฐเบเบฑเปเบเบเปเบญเบเบชเบฐเปเบเบเปเบซเปเปเบเบปเปเบฒเปเบซเบฑเบเบเบธเปเบกเปเบเบเบตเปเบเปเบญเบเบซเบฑเบเบกเบฒเปเบเปเปเบเบเบฑเบเบซเบฒเบเบตเป. เบเปเบฒเปเบเบฐเบเปเบฒเบขเปเบฒเบเปเบเบฑเบกเบเบตเปเบเปเบฒเบเบฅเบธเปเบกเบเบตเปเบเบฒเบเบเบฑเบ:
เบซเบกเบฒเบเปเบซเบ:
เบเปเบญเบเบเบตเปเบเบฐเปเบฅเบตเปเบกเบเบปเปเบ, เบเปเบฒเบเบฐเปเบเบปเปเบฒเบขเบฒเบเบเบฐเบเบถเบเบเบนเบเบเบงเบฒเบกเบชเบปเบเปเบเบเบญเบเปเบเบปเปเบฒเบเบฑเบเบเบงเบฒเบกเบเบดเบเบเบตเปเบงเปเบฒเบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบซเบเบเบปเบเบเบตเปเบเปเบญเบเบเปเปเบฎเบนเป, เปเบเปเบกเบเบเบทเปเบเบเบฒเบเปเบเบเบฅเปเบฒเบเปเบเปเบเบทเบเบชเปเบฒเบเบเบทเปเบเปเบเปเบเบเปเบญเบเบฐเบเบปเบ lan, เบเปเบญเบเบเบดเปเบ, เปเบฅเบฐเบญเบทเปเบเป.
เบเปเบญเบเบเปเปเบฎเบนเปเบงเปเบฒเบชเบดเปเบเบเบตเปเบเปเบญเบเบเบฑเบเบเปเปเปเบซเปเบเปเบญเบเปเบเปเปเบเปเบกเบเบเบญเบเบญเบปเบเบเบฒเบเบขเบนเปเปเบเปเบเบเบชเบฒเบเบฒเบฅเบฐเบเบฐ. เบเบปเบงเบขเปเบฒเบ, เปเบเบเบเบตเปเบเบฐเปเบเบฑเบเปเบเปเบกเบ Alex-GLuck-Awesome-Company.local, เบเปเบฒเบเบชเบฒเบกเบฒเบเบเปเบฒเปเบเปเปเบเปเบกเบเปเบเปเบขเปเบฒเบเบเบญเบเปเบเบชเปเบฒเบฅเบฑเบเปเบงเบฑเบเปเบเบเปเบเบญเบเบเปเบฅเบดเบชเบฑเบ Alex-GLuck-Awesome-Company.com.
เบเปเบฒเบเปเบฒเบเบขเปเบฒเบเบงเปเบฒเบเปเบฒเบเบเปเปเบชเบฒเบกเบฒเบเบเบดเบเบเบฒเบกเปเบเปเบกเบเปเบเบญเบปเบเบเบฒเบเบเบญเบเปเบเบปเปเบฒ, เปเบฅเบฐเบเบตเปเบเบฐเบเปเบฒเบฅเบฒเบเบเบฒเบเบชเบดเปเบเบเบฒเบเบขเปเบฒเบ, เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบชเปเบฒเบฅเบฑเบ 100 เบฎเบนเปเบเบตเบเปเบฅเบฑเบเบเปเบญเบเบเปเปเบเบตเบเปเบฒเบเบชเบฒเบกเบฒเบเบเบทเปเปเบเปเบกเบเปเบเบเบเปเบฒเบเบซเบฒเบเบชเปเบฒเบฅเบฑเบเปเบเบเบชเปเบฒเบเบเบทเปเบเบเบฒเบเบเบญเบ aglac.com.
เปเบเบฑเบเบซเบเบฑเบเบกเบฑเบเบเบถเปเบเบกเบตเบเปเบฒเปเบฅเบซเบผเบฒเบเบเบงเปเบฒเบเบตเปเบเบฐเปเบเปเปเบเปเบกเบเปเบเปเบเบเบชเบฒเบเบฒเบฅเบฐเบเบฐ:
1. เบญเบปเบเบเบญเบเบเบญเบเบเปเบฒเบเบกเบตเบเบฒเบเบเปเบฅเบดเบเบฒเบเบเบตเปเบชเบฒเบกเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบเปเปเบเบเบชเบฒเบเบฒเบฅเบฐเบเบฐ: vpn, เบเบฒเบเปเบเปเบเบเบฑเบเปเบเบฅเป (seafile, nextcloud), เปเบฅเบฐเบญเบทเปเบเป. เบเบฒเบเบเบฑเปเบเบเปเบฒเบเบฒเบเปเบเบปเปเบฒเบฅเบฐเบซเบฑเบเบเบฒเบเบเบฐเบฅเบฒเบเบญเบเปเบเบเบฒเบเบเปเบฅเบดเบเบฒเบเบเบฑเปเบเบเปเบฒเบงเบกเบฑเบเบเบฐเปเบเบฑเบเปเบฅเบทเปเบญเบเบเบตเปเบซเบเบธเปเบเบเบฒเบ, เปเบฅเบฐเบเบงเบเปเบฎเบปเบฒเบเบฐเบเปเปเบเปเบญเบเบเบฑเบเบเบฒเบเปเบเบกเบเบตเบเบญเบ MitM เปเบเบฒเบฐเบกเบฑเบเบเบฒเบ (เบเปเปเปเบกเปเบเปเบเปเป).
เบซเบผเบทเบเปเบฒเบเบกเบตเบเบตเปเบขเบนเปเบเปเบฅเบดเบเบฒเบเบซเบเบถเปเบเบเบฒเบเปเบเบซเปเบญเบเบเบฒเบ, เปเบฅเบฐเบญเบทเปเบเบเบฒเบเบญเบดเบเปเบเบตเปเบเบฑเบ, เปเบฅเบฐเบเบฒเบเปเบเบทเปเบญเบกเบเปเปเปเบซเบผเบปเปเบฒเบเบตเปเบเปเบญเบเปเบเปเบฎเบฑเบเบเบฒเบเบฎเบฑเบเบชเบฒเปเบงเป, เปเบเบดเปเบเปเบฎเบฑเบเปเบซเปเปเบชเบเบเบฑเบเบเบฐเบเบฒเบเบญเบเบเบนเปเบเปเบฝเบงเบเบฒเบเบเบตเปเบเปเบฒเบเบฑเบเบเบญเบเบเบงเบเปเบฎเบปเบฒ. เบเบต, เบเบฐเบเบฑเบเบเบฒเบเบเปเบญเบเบเบทเปเบเปเบฒเบเบตเปเบขเบนเปเบเบตเปเปเบเบเบเปเบฒเบเบเบฑเบ, เปเบเบดเปเบเบเปเปเบชเบฐเบเบงเบ.
2. เบเปเบฒเบเบชเบฒเบกเบฒเบเบเปเบฒเปเบเปเบญเปเบฒเบเบฒเบเบเบฒเบเบเบปเบเปเบเบขเบฑเปเบเบขเบทเบเบเบฃเบตเปเบเบทเปเบญเปเบเบปเปเบฒเบฅเบฐเบซเบฑเบเบเบฒเบเบเปเบฅเบดเบเบฒเบเบเบฒเบเปเบเบเบญเบเบเปเบฒเบ.
PKI เบเบญเบเบเปเบฒเบเปเบญเบเปเบกเปเบเบเบฒเบเบเปเบฅเบดเบเบฒเบเบเบตเปเบเปเบญเบเปเบเปเบฎเบฑเบเบเบฒเบเบชเบฐเบซเบเบฑเบเบชเบฐเบซเบเบนเบ; 100 เบฎเบนเปเบเบตเบเบเปเปเบเบตเบชเปเบฒเบฅเบฑเบเปเบญเบเบฒเบเบเบตเปเบเบฐเบเปเบฒเปเบเป PKI เบเบฒเบเปเบเบปเปเบฒเบซเบเปเบฒเบเบตเปเบเบฒเบเบขเบฑเปเบเบขเบทเบเบเบฃเบตเบซเบผเบฒเบเบเบงเปเบฒเบเบฒเบเบเปเบฒเบเบเปเบฒเปเบงเบฅเบฒเบเบญเบเบเบฐเบเบฑเบเบเบฒเบเบเบตเปเบชเบฒเบกเบฒเบเปเบเปเปเบงเบฅเบฒเปเบเบงเบฝเบเบเบฒเบเบญเบทเปเบเป.
3. เปเบกเบทเปเบญเบเปเบฒเปเบเปเบชเบดเบเบญเปเบฒเบเบฒเบเปเบเบขเบฑเปเบเบขเบทเบเบเบญเบเบเบปเบเปเบญเบ, เบเปเบฒเบเบเบฐเปเบญเบปเบฒเบเปเบฒเปเบงเบปเปเบฒเปเบเบปเปเบฒเปเบเปเบเบฅเปเปเบเบญเบเบเบฐเบเบฑเบเบเบฒเบเบซเปเบฒเบเปเบเบชเบญเบเบซเบผเบตเบเปเบฅเบฐเปเบเบทเปเบญเบเบฎเปเบงเบกเบเบฒเบเบเบตเปเบเปเบญเบเบเบฒเบเปเบฎเบฑเบเบงเบฝเบเบเบฑเบ BYOD (เปเบญเบปเบฒเบเบญเบกเบเบดเบงเปเบเบตเปเบเบเบเบธเบ, เปเบเบฅเบฐเบชเบฑเบ, เปเบเบฑเบเปเบฅเบฑเบ) เปเบฅเบฐเบเปเบฒเบเบเปเปเบชเบฒเบกเบฒเบเบเบฑเบเบเบฒเบเบญเบธเบเบฐเบเบญเบเบเบญเบเปเบเบปเบฒเปเบเบปเปเบฒเปเบเป. เบเบงเบเปเบเบปเบฒเปเบญเบปเบฒ Macs, Linux, Androids, iOS, Windows - เบกเบฑเบเบเปเปเบกเบตเบเบธเบเปเบเบเบตเปเบเบฐเบชเบฐเบซเบเบฑเบเบชเบฐเบซเบเบนเบเบชเบงเบเบชเบฑเบเบเบฑเปเบเบเปเบฒเบง.
เปเบเบเบธเบเบชเบดเปเบเบเบธเบเบขเปเบฒเบ, เปเบเปเบเบญเบ, เบกเบตเบเปเปเบเบปเบเปเบงเบฑเปเบ, เปเบฅเบฐเบเบฐเบเบฒเบเบฒเบเบเบฑเบเบงเบดเบชเบฒเบซเบฐเบเบดเบเบเบตเปเปเบซเบเบฎเปเบฒเบเบญเบทเปเบเปเบเบตเปเปเบเปเบชเปเบฒเบเบเบฑเปเบเบเบฐเปเบเบเบฒเบเบเบงเบฒเบกเบเบญเบเปเบเบเบฐเบเปเปเบชเบฒเบกเบฒเบเบเบฑเบเบเบธเบเบเบฒเบเบเปเบฅเบดเบเบฒเบเบชเปเบฒเบฅเบฑเบเบเบฐเบเบฑเบเบเบฒเบเบเบญเบเปเบเบปเบฒเปเบเบปเปเบฒ.
เบชเปเบฒเบฅเบฑเบเบเบงเบเปเบเบปเบฒ, เบกเบตเปเบเบปเปเบฒเบซเบเปเบฒเบเบตเปเบเบฒเบเบขเบฑเปเบเบขเบทเบเบเบตเปเปเบเปเบฎเบฑเบเบเปเบฒเบเปเบฒเบเบเบตเปเบชเบฒเบกเบฒเบเปเบเบฑเบเปเบเบขเบฑเปเบเบขเบทเบ CA เบเบญเบเบเบงเบเปเบเบปเบฒเบชเปเบฒเบฅเบฑเบเบเปเบฒเบเบงเบเบเบตเปเปเบเปเบเบญเบ (Google "เบเปเบฅเบดเบเบฒเบเปเบเบฑเบเบเบทเปเบฎเบฒเบ").
เบกเบตเปเบซเบเบเบปเบเบญเบทเปเบเปเบงเปเบฒเปเบเบฑเบเบซเบเบฑเบเบกเบฑเบเบเบถเปเบเบกเบตเบเปเบฒเปเบฅเบซเบผเบฒเบเบเบงเปเบฒเบเบตเปเบเบฐเปเบเปเปเบเปเบกเบเบชเบฒเบเบฒเบฅเบฐเบเบฐ (เบชเบดเปเบเบเบตเปเบชเปเบฒเบเบฑเบเบเบตเปเบชเบธเบเปเบกเปเบเบงเปเบฒเบกเบฑเบเปเบเบฑเบเบเบญเบเปเบเบปเปเบฒ), เปเบเปเบเบปเบเบเบงเบฒเบกเบเบตเปเบเปเปเบเปเบฝเบงเบเบฑเบเปเบฅเบทเปเบญเบเบเบฑเปเบ.
เบเบธเบโเปเบกเปเบ...
เบฅเบฐเบงเบฑเบ! เบเปเบฒเปเบเบปเปเบฒเปเบเบตเปเบกเปเบเบฎเบฑเบเบฎเบญเบ Let's Encrypt CA เปเบชเปเบฅเบฒเบเบเบทเปเบเบตเปเปเบเบทเปเบญเบเบทเปเบเปเบเบญเบ ovirt, เบกเบฑเบเบญเบฒเบเบเบฐเบชเบปเปเบเบเบปเบเบเบฐเบเบปเบเบเปเปเบเบงเบฒเบกเบเบญเบเปเบเบเบญเบเบฅเบฐเบเบปเบเบเบญเบเปเบเบปเปเบฒ!
เบชเบดเปเบเบเปเบฒเบญเบดเบเบเบตเปเบเปเบฒเบเบเปเบฒเปเบเบฑเบเบเปเบญเบเปเบญเบปเบฒเปเบเปเบชเปเปเบกเปเบเบงเปเบฒเบเบฒเบเปเบเบตเบเปเบเบตเบเบเบฒเบเปเบเปเบเบญเบ Ovirt เบเบฑเบเบญเบดเบเปเบเบตเปเบเบฑเบเปเบกเปเบเบเบฒเบเบเบฐเบเบดเบเบฑเบเบเบตเปเบเปเปเบเบต, เปเบเบฒเบฐเบงเปเบฒ เบเบตเปเปเบฎเบฑเบเปเบซเปเบเปเปเบกเบตเบเบงเบฒเบกเบฎเบนเปเบชเบถเบเบเบฐเบเบดเบเบฑเบ, เปเบฅเบฐเบชเปเบฒเบเปเบเบเบปเปเบกเบเบนเปเบเปเบฒเบเบเบงเบฒเบกเบเบญเบเปเบเปเบเบตเปเบกเปเบเบตเบก.
เบเบฑเปเบเบเบฑเปเบ, เบเปเบฒเบเบเปเบฒเปเบเบฑเบเบเปเบญเบเปเบเปเบฎเบฑเบเปเบเบขเบฑเปเบเบขเบทเบเบซเบเบถเปเบเบเบญเบเปเบเบปเปเบฒเบเบฒเบ bastion เบเบญเบเบเบงเบเปเบฎเบปเบฒ, เปเบฅเบฐเบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเปเบญเบเปเบเบขเบฑเปเบเบขเบทเบเปเบฅเบฐเบเบธเบเปเบเปเบซเปเบเบฑเบเปเบเบปเปเบฒเบเบฒเบเบเบญเบเบเบงเบเปเบฎเบปเบฒเบเปเบงเบเปเบเบทเปเบญเบเบเบฑเบ ovirt.
เบเบงเบเปเบฎเบปเบฒเปเบเบตเปเบกเบเบตเปเบขเบนเปเบเบฒเบเบเบญเบเบเบญเบ bastion host เบเบญเบเบเบงเบเปเบฎเบปเบฒเปเบชเป dns เบเปเบงเบเบเบทเป ovirt เบเบญเบเบเบงเบเปเบฎเบปเบฒ ovirtengine.example.com, เบเปเบญเบเบเบฐเบญเบญเบเบเบฒเบเบเบฒเบเบเบดเบเบเบฑเปเบ certbot เปเบฅเบฐ nginx เบขเบนเปเปเบเบทเปเบญเบเบซเบผเบฑเบ (เบงเบดเบเบตเบเบฒเบเปเบฎเบฑเบเบเบตเปเปเบกเปเบเปเบเปเบญเบฐเบเบดเบเบฒเบเปเบฅเปเบงเปเบHabrรฉ).
เบเบฑเปเบเบเปเบฒ njinx เบฅเบธเปเบ >=1.15.7
/etc/nginx/conf.d/default.conf
server {
server_name _;
listen 80 default_server;
location /robots.txt { alias /usr/share/nginx/html/robots.txt; }
location /.well-known {
root /usr/share/nginx/html;
}
location / {
return 444;
}
}
server {
server_name _;
listen 443 ssl http2 default_server;
location /robots.txt { alias /usr/share/nginx/html/robots.txt; }
location /.well-known {
root /usr/share/nginx/html;
}
ssl_certificate /etc/nginx/ssl/$ssl_server_name/fullchain.pem;
ssl_certificate_key /etc/nginx/ssl/$ssl_server_name/privkey.pem;
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
# ะฟะพะทะฒะพะปัะตะผ ัะตัะฒะตัั ะฟัะธะบัะตะฟะปััั OCSP-ะพัะฒะตัั, ัะตะผ ัะฐะผัะผ ัะผะตะฝััะฐั ะฒัะตะผั ะทะฐะณััะทะบะธ ัััะฐะฝะธั ั ะฟะพะปัะทะพะฒะฐัะตะปะตะน
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security max-age=15768000;
location / {
return 444;
}
}
เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบ, เบเบงเบเปเบฎเบปเบฒเปเบเปเบฎเบฑเบเปเบเบขเบฑเปเบเบขเบทเบเปเบฅเบฐเบฅเบฐเบซเบฑเบเบเบญเบเบเบงเบเปเบฎเบปเบฒ:
certbot certonly --nginx -d ovirtengine.example.com
เปเบเบฑเบเปเบเบขเบฑเปเบเบขเบทเบ เปเบฅเบฐเบเบฐเปเบเบเบญเบเบเบงเบเปเบฎเบปเบฒเปเบงเป:
tar Phczf /tmp/ovirtengine.example.com.tgz /etc/letsencrypt/live/ovirtengine.example.com
เบเบฒเบงเปเบซเบฅเบเบฎเบงเบเบฎเบงเบกเบเบฒเบ host bastion เปเบฅเบฐเบญเบฑเบเปเบซเบฅเบเบกเบฑเบเปเบชเปเปเบเบทเปเบญเบเบเบฑเบ ovirt เบเบญเบเบเบงเบเปเบฎเบปเบฒ:
scp bastion-host:/tmp/ovirtengine.example.com.tgz /tmp/
scp /tmp/ovirtengine.example.com.tgz ovirtengine.example.com:/
เบเปเปเบซเปเบเปเบฒเบงเปเบเบชเบนเปเปเบเบปเปเบฒเบซเบกเบฒเบ
เบเปเปเปเบ, เบเบงเบเปเบฎเบปเบฒ unpack archive เบเบญเบเบเบงเบเปเบฎเบปเบฒเปเบฅเบฐเบชเปเบฒเบ symlinks เปเบเบทเปเบญเปเบฎเบฑเบเปเบซเปเบเบงเบฒเบกเปเบเบปเปเบฒเปเบเบเบญเบเบฅเบฐเบเบปเบเบชเบฐเบเบฒเบเบเบตเปเปเบเบฅเปเบเปเบฒเบเบเบฒเบ:
tar Pxzf /ovirtengine.example.com.tgz && rm -f ovirtengine.example.com.tgz
mkdir -p /etc/letsencrypt/live
ln -f -s /etc/letsencrypt/live /etc/pki/letsencrypt
เบเบงเบเปเบฎเบปเบฒเบเบณเบเบปเบเบเปเบฒ pki เบเบตเปเบชเปเบฒเบเบเบถเปเบเปเบ Ovirt เปเบเบทเปเบญเปเบซเปเบเปเบญเบเปเบเบฑเบเปเบเบขเบฑเปเบเบขเบทเบ java (openjdk) เบเบทเบเบเปเบฒเปเบเปเปเบเบทเปเบญเบเบงเบเบชเบญเบเปเบเบขเบฑเปเบเบขเบทเบ:
cat << EOF > /etc/ovirt-engine/engine.conf.d/99-setup-pki.conf
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
EOF
เบเบงเบเปเบฎเบปเบฒเบเปเบฝเบ CA เบเบฒเบ let's encrypt เปเบเบปเปเบฒเปเบเปเบเบฎเบนเบเปเบเบ der เปเบฅเบฐเปเบเบตเปเบกเบกเบฑเบเปเบเบปเปเบฒเปเบเปเบ ovirt java trust store certificate store (เบเบตเปเปเบกเปเบ container เบเบตเปเบกเบตเบเบฑเบเบเบตเบฅเบฒเบเบเบทเปเบเบญเบเปเบเบขเบฑเปเบเบขเบทเบ, เบฅเบฐเบเบปเบเบเบฑเปเบเบเปเบฒเบงเบเบทเบเบเปเบฒเปเบเปเปเบ java):
openssl x509 -outform der -in /etc/pki/letsencrypt/ovirtengine.example.com/chain.pem -out /tmp/ovirtengine.example.com.chain.der
keytool -import -alias "Let's Encrypt Authority X3" -file /tmp/ovirtengine.example.com.chain.der -keystore /etc/pki/ovirt-engine/.truststore -storepass $(grep '^ENGINE_PKI_TRUST_STORE_PASSWORD' /etc/ovirt-engine/engine.conf.d/10-setup-pki.conf | cut -f 2 -d '"')
rm -f /tmp/ovirtengine.example.com.chain.der
เบเบงเบเปเบฎเบปเบฒเปเบเปเปเบเบเบฒเบเบเบฑเปเบเบเปเบฒ SSL เบชเปเบฒเบฅเบฑเบ apache, เปเบเบตเปเบกเบเบฒเบฅเบฒเบกเบดเปเบเบตเปเบเบทเปเบญเบชเบฐเบซเบเบฑเบเบชเบฐเบซเบเบนเบ symlinks เปเบฅเบฐเปเบญเบปเบฒเบเบฒเบฅเบฒเบกเบดเปเบเบตเบชเปเบฒเบฅเบฑเบ CA เบเบตเปเบเบฐเบเบงเบเบชเบญเบเปเบเบขเบฑเปเบเบขเบทเบ (เปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบ, เบเบธเบเบฅเบฐเบเบปเบเบเบญเบ CAs เบเบตเปเปเบเบทเปเบญเบเบทเปเบเปเบเบฐเบเบทเบเบเปเบฒเปเบเปเบชเปเบฒเบฅเบฑเบเบเบฒเบเบขเบฑเปเบเบขเบทเบ):
sed -r -i 's|^(SSLCACertificateFile.*)|#1|g' /etc/httpd/conf.d/ssl.conf
sed -r -i '0,/(^#?SSLCACertificateFile.*)/ s//1nOptions FollowSymlinks/' /etc/httpd/conf.d/ssl.conf
เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบ, เปเบเบเปเบฅเบฐเบเบตเปเบเบเปเปเบเบฒเบก, เบเบงเบเปเบฎเบปเบฒเบชเปเบฒเบฎเบญเบเบเปเปเบกเบนเบเปเบเบฅเปเบเบปเปเบเบชเบฐเบเบฑเบเบเบตเปเบชเปเบฒเบเบเบถเปเบเปเบเบเบเปเบฒเบ PKI เบญเบฑเบเบเบฐเปเบเบกเบฑเบเบเบญเบ ovirt เปเบฅเบฐเบเบปเบเปเบเบเบเบงเบเบกเบฑเบเบเปเบงเบ symlinks เบเบฑเบเปเบเบฅเปเบเบฒเบ Let's Encrypt:
ln -f -s /etc/pki/letsencrypt/ovirtengine.example.com/fullchain.pem /etc/pki/ovirt-engine/apache-chain.pem
services=( 'apache' 'imageio-proxy' 'websocket-proxy' )
for i in "${services[@]}"; do
cp /etc/pki/ovirt-engine/certs/$i.cer{,."$( date +%F )".bak}
cp /etc/pki/ovirt-engine/keys/$i.key.nopass{,."$( date +%F )".bak}
ln -f -s /etc/pki/letsencrypt/ovirtengine.example.com/privkey.pem /etc/pki/ovirt-engine/keys/$i.key.nopass
ln -f -s /etc/pki/letsencrypt/ovirtengine.example.com/cert.pem /etc/pki/ovirt-engine/certs/{apache,imageio-proxy,websocket-proxy}.cer
done
เบเบงเบเปเบฎเบปเบฒเบเบทเปเบเบเบน SElinux contexts เปเบเปเบเบฅเปเปเบฅเบฐ restart เบเบฒเบเบเปเบฅเบดเบเบฒเบเบเบญเบเบเบงเบเปเบฎเบปเบฒ (httpd, ovirt-engine, ovirt-imageio-proxy, ovirt-websocket-proxy):
restorecon -Rv /etc/pki
systemctl restart httpd ovirt-engine ovirt-imageio-proxy ovirt-websocket-proxy
httpd โ เปเบงเบฑเบเปเบเบตเบเปเบงเบต apache
ovirt-engine - ovirt web interface
ovirt-imageio-proxy - daemon เบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบฒเบงเปเบซเบผเบเบฎเบนเบเบเบฒเบเปเบเปเบ
ovirt-websocket-proxy - เบเปเบฅเบดเบเบฒเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบฅเปเบ noVNC console
เบเบฑเบเบซเบกเบปเบเบเปเบฒเบเปเบเบดเบเบเบตเปเปเบเปเบเบทเบเบเบปเบเบชเบญเบเปเบ Ovirt เบฎเบธเปเบ 4.2.
เบเบฒเบเบเปเปเบญเบฒเบเบธเบญเบฑเบเบเบฐเปเบเบกเบฑเบเบเบญเบเปเบเบขเบฑเปเบเบขเบทเบเปเบ ovirt
เบญเบตเบเบเบฒเบกเบเบฒเบเบเบฐเบเบดเบเบฑเบเบเบงเบฒเบกเบเบญเบเปเบเบเบตเปเบเบต, เบเปเปเบเบงเบเบกเบตเบเบฒเบเปเบเบทเปเบญเบกเบเปเปเบฅเบฐเบซเบงเปเบฒเบ bastion host เปเบฅเบฐ ovirt, เปเบฅเบฐเปเบเบขเบฑเปเบเบขเบทเบเปเบกเปเบเบญเบญเบเบเบฝเบเปเบเป 3 เปเบเบทเบญเบ. เบเบตเปเปเบกเปเบเบเปเบญเบเบเบตเปเบเบฑเบเบซเบฒเปเบเปเปเบเปเบเปเบเบตเบเบเบถเปเบเบเปเบฝเบงเบเบฑเบเบงเบดเบเบตเบเบตเปเบเปเบญเบเบเบฐเบเบดเบเบฑเบเบเบฒเบเบเปเปเบญเบฒเบเบธเปเบเบขเบฑเปเบเบขเบทเบ.
เบเปเบฒโเบเบฐโเปเบเบปเปเบฒโเบกเบต playbook ansible เบเบตเปโเบเปเบฒโเปเบเบตเบโเบเบฒเบโเปเบ foreman เบเบธเบเปโเบกเบทเปโเบเบตเป 5 am เบเบฒเบกโเบเบฒโเบเบฐโเบฅเบฒเบโเบเบฒเบ. เบเบทเปเบกเบซเบผเบดเปเบเบเบตเปเปเบเบซเบฒ ovirt, เบเบงเบเปเบเบดเปเบเปเบฅเบเบฐเปเบงเบฅเบฒเบเบตเปเบเบทเบเบเปเบญเบเบเบญเบเปเบเบขเบฑเปเบเบขเบทเบ, เปเบฅเบฐเบเปเบฒเบกเบตเบซเบเปเบญเบเบเบงเปเบฒ 5 เบกเบทเปเบเปเบญเบเบซเบกเบปเบเบญเบฒเบเบธ, เบกเบฑเบเปเบเบซเบฒเปเบเบปเปเบฒเบเบฒเบ bastion เปเบฅเบฐเปเบฅเบตเปเบกเบเบฑเบเบเบธเบเปเบเบขเบฑเปเบเบขเบทเบ.
เบซเบผเบฑเบเบเบฒเบเบเบฒเบเบเบฑเบเบเบธเบเปเบเบขเบฑเปเบเบขเบทเบ, เบกเบฑเบเบเบฐเปเบเบฑเบเปเบเบเปเบเบตเบเปเบงเบเปเบเบฅเป, เบเบฒเบงเปเบซเบฅเบเบกเบฑเบเปเบชเปเปเบฎเบ Forman เปเบฅเบฐ unzips เบกเบฑเบเบเบฑเบ Ovirt host. เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบ, SElinux เบเบทเปเบเบเบนเบชเบฐเบเบฒเบเบเบฒเบเบขเบนเปเปเบเปเบเบฅเปเปเบฅเบฐเปเบเบตเบเบเปเบฅเบดเบเบฒเบเบเบญเบเบเบงเบเปเบฎเบปเบฒเบเบทเบเปเบซเบกเป.
เปเบซเบผเปเบเบเปเปเบกเบนเบ: www.habr.com
