Red Hat Network Satellite 5.5 Guia de Configura o do Cliente

Red Hat Network Satellite 5.5 Guia de Configura o do Cliente Red Hat Network Satellite Edição 3 Red Hat Equipe da Documentação

Red Hat Network Satellite 5.5 Guia de Configura o do Cliente Red Hat Network Satellite Edição 3 Red Hat Equipe da Do cumentação

Nota Legal Copyright 2010 Red Hat, Inc. T his document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed. Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law. Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, MetaMatrix, Fedora, the Infinity Logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries. Linux is the registered trademark of Linus Torvalds in the United States and other countries. Java is a registered trademark of Oracle and/or its affiliates. XFS is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries. MySQL is a registered trademark of MySQL AB in the United States, the European Union and other countries. Node.js is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project. T he OpenStack Word Mark and OpenStack Logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community. All other trademarks are the property of their respective owners. Resumo Bem vindo ao Guia de Configuração do Red Hat Network Satellite Client

Índice Índice. Capítulo......... 1... Introdução................................................................................ 3........... Capítulo......... 2... Aplicações............ em.... Máquinas.......... Clientes...................................................... 4.......... 2.1. Empregando os RPMs Clientes Mais Recentes da Red Hat Network 4 2.2. Configurando as Aplicações Clientes 5 2.2.1. Registrando Clientes no Servidor Red Hat Network RHN Satellite 5 2.2.2. Registrando com Chaves de Ativação 6 2.2.3. Usando a Opção up2date --configure 6 2.2.4. Atualizando os Arquivos de Configuração Manualmente 7 2.2.5. Implementando a T ransferência (failover) de Servidores 8 2.3. O Applet do Atualizador de Pacotes 8. Capítulo......... 3... Infra-estrutura................ da... SSL............................................................ 10........... 3.1. Uma Breve Introdução à SSL 10 3.2. O RHN SSL Maintenance Tool 11 3.2.1. Gerando os Certificados SSL 12 3.2.2. Opções da RHN SSL Maintenance Tool 13 3.2.3. Gerando o Par de Chaves SSL da Autoridade Certificadora (Certificate Authority) 17 3.2.4. Gerando Conjuntos de Chaves SSL do Servidor Web 18 3.3. Empregando o Certificado Público SSL da CA nos Clientes 19 3.4. Configurando Sistemas Cliente 19. Capítulo......... 4.. Importando............. Chaves........ Padronizadas............... GPG........................................... 20............ Capítulo......... 5... Usando......... o. RHN..... Bootstrap................................................................ 21........... 5.1. Preparando para uma instalação de RHN Bootstrap 21 5.2. Gerando os Scripts do RHN Bootstraps 22 5.3. Utilizando o Script do RHN Bootstrap 23 5.4. Configurando as opções do RHN Bootstrap 23. Capítulo......... 6... Escrevendo............. o.. script...... da... configuração.............. RHN..... Bootstrap........... manualmente......................... 26............ Capítulo......... 7... Implementar.............. o. Kickstart................................................................ 28............ Exemplo......... de... Script....... Bootstrap....................................................................... 31............ Revision......... History................................................................................. 37............ Índice...... Remissivo.................................................................................... 37........... Símbolos 37 A 38 B 38 C 38 G 38 K 38 R 39 S 39 1

2 Red Hat Network Satellite 5.5 Guia de Configuração do Cliente

Capítulo 1. Introdução Capítulo 1. Introdução Este guia de melhores práticas pretende ajudar clientes do RHN Satellite Server e RHN Proxy Server a configurarem seus sistemas de cliente. Por padrão, todos os aplicativos de cliente Red Hat Network são configurados para comunicar com os Servidores centrais Red Hat Network. Quando os clientes se conectam ao RHN Satellite Server ou RHN Proxy Server, a configuração padrão muda. Este documento pretende ajudar, oferecendo passos de reconfiguração em massa que ajudarão ambientes corporativos, contendo diversos sistemas, endereçando as mudanças de configuração padrão. Devido à complexidade desta tarefa, os clientes podem usar um script pré-definido que automatiza muitas destas tarefas necessárias para acessar seus servidores Satellite ou Proxy. Consulte o Capítulo 5, Usando o RHN Bootstrap para maiores detalhes. A Red Hat acredita que é importante estar ciente das implicações que estas mudanças acarretam e portanto descreve passo a passo para a reconfiguração, nos capítulos seguintes. Determine você mesmo qual a solução ideal para sua empresa. Embora muitos dos comandos fornecidos neste guia serem aplicáveis da maneira como são apresentados, é impossível prever todas as configurações de rede possíveis, adotadas pelos clientes. Portanto, a Red Hat incentiva a usar estes comandos como referências, levando em consideração as configurações individuais da sua empresa. Nota As informações de configuração do cliente Unix podem ser encontradas no RHN Satellite Server Reference Guide no capítulo Unix Support. 3

Red Hat Network Satellite 5.5 Guia de Configuração do Cliente Capítulo 2. Aplicações em Máquinas Clientes Para poder utilizar a maioria das funcionalidades da Red Hat Network, como por exemplo registrar-se em um Satellite, é necessário a configuração das aplicações em clientes mais recentes. Pode ser difícil obter estas aplicações antes do cliente estar registrado na Red Hat Network. Este paradoxo é especialmente problemático para clientes migrando uma grande quantidade de sistemas mais antigos para a Red Hat Network. Este capítulo aborda as técnicas para resolver este dilema. Importante A Red Hat recomenda que os clientes conectados aos Servidores RHN Proxy ou RHN Satellite, executem a última versão do Red Hat Enterprise Linuse para garantia de uma conectividade apropriada. Além disso, caso os firewalls de cliente sejam configurados, as portas 80 e 443 devem ser abertas para funcionarem adequadamente com o Red Hat Network. 2.1. Empregando os RPMs Clientes Mais Recentes da Red Hat Network O Package Updater (pup), yum,o yum RHN Plugin (yum-rhn-plugin) e o Red Hat Network Registration Client (rhn_register) no Red Hat Enterprise Linux 5e 6 são pré-requisitos para utilizar a maioria das funções do Red Hat Network corporativo. É necessário instalá-los nos sistemas cliente antes de tentar utilizar os Servidores RHN Proxy ou RHN Satellite em seu ambiente. Há diversas estratégias para esta atualização do software cliente da RHN. Uma delas envolve armazenar os RPMs numa localidade acessível a todos os sistemas clientes e empregar os pacotes com o comando mais simples possível. Em praticamente todos os casos, não é necessário executar uma implementação manual do yum, pup, e rhn_register. Estas ferramentas clientes não devem apresentar problemas ao conectar a seu ambiente RHN Satellite ou Proxy. A discussão abaixo assume que o yum imediato, pup, e rhn_register não são os mais recentes e não funcionam em seu ambiente. Observe que os sistemas executando o Red Hat Enterprise Linux 5 e 6 devem ser registrados com o RHN no firstboot após a instalação ou utilizando o comando rhn_register. Este documento presume que o cliente instalou ao menos um Servidor RHN Satellite e/ou Proxy em suas redes. O exemplo abaixo demonstra que uma simples implementação do yum, pup, e rhn_register (ou up2date) pela primeira vez por um administrador, considerando que as máquinas não tenham um RHN funcionando: rpm -Uvh http://satellite.example.com/pub/rhn-setup-0.4.17-8.el5.i386.rpm http://satellite.example.com/pub/yum-3.2.8-9.el5.i386.rpm http://satellite.example.com/pub/pirut-1.3.28-13.3l5.noarch.rpm O administrador já pré-populou o diretório /var/www/htm l/pub/ no ambiente do RHN Satellite ou RHN Proxy com a cópia dos RPMs yum, pup, e rhn_register que os sistemas do cliente precisam, e depois ao executar o comando acima. Os RPMs já foram implementados nos sistemas cliente com um comando simples rpm -Uvh. O comando rpm -Uvh, quando executado de um cliente, instala os RPMs no cliente, presumindo-se que o nome do domínio, caminhos e versões do RPM são corretos (note que o comando foi dividido em diversas linhas para impressão e PDF mas deveria ter digitado como uma só 4

Capítulo 2. Aplicações em Máquinas Clientes linha ao ser solicitado no terminal): T enha em mente que a arquitetura (neste caso, i386) talvez precise ser alterada, dependendo dos sistemas a servir. 2.2. Configurando as Aplicações Clientes Apesar de poucos clientes terem de se conectar de forma segura em um Servidor RHN Satellite ou RHN Proxy dentro de suas empresas, e poucos clientes precisarem construir e implementar a chave GPG para pacotes de clintes, todos os clientes que utilizam os Servidores RHN Satellite ou RHN Proxy devem reconfigurar o Red Hat Update Agent (up2date) e possivelmente o Red Hat Network Registration Client (rhn_register) para redirecioná-lo da Red Hat Network para seus Servidores RHN Satellite ou RHN Proxy. Importante Apesar disto não ser configurável, note que a porta usada pelo up2date é 80 para HTTP e 443 para HTTP seguro (HTTPS). Por padrão, o yum no Red Hat Enterprise Linux 5 usa somente SSL. Por este motivo, os usuários devem garantir que seus firewalls permitam conexões através da porta 443. Para ignorar a SSL, altere o protocolo da serverurl, de https para http no arquivo /etc/sysconfig/rhn/up2date. Da mesma forma, para usar a funcionalidade Monitoring da RHN e as detecções requerendo o Red Hat Network Monitoring Daemon, note que os sistemas clientes devem permitir conexões na porta 4545 (ou na porta 22, se usar sshd). Por padrão, o rhn_register e up2date referem aos Servidores principais da Red Hat Network. Os usuários devem reconfigurar os sistemas clientes para referirem ao seu Servidor RHN Satellite ou RHN Proxy. Note que as versões mais recentes do Red Hat Update Agent podem ser configuradas para acomodar diversos Servidores do RHN, provendo assim proteção contra quedas, no caso do servidor primário estar inacessível. Consulte a Seção 2.2.5, Implementando a T ransferência (failover) de Servidores para obter instruções da ativação desta funcionalidade. As próximas seções descrevem os métodos para configurar os sistemas clientes para acessarem seu Servidor RHN Satellite ou RHN Proxy. Para ver como virtualmente toda reconfiguração pode ser feita através de scripts, veja o Capítulo 6, Escrevendo o script da configuração RHN Bootstrap manualmente. 2.2.1. Registrando Clientes no Servidor Red Hat Network RHN Satellite Para registrar um sistema com o Servidor RHN Satellite, um nome de domínio totalmente qualificado (FQDN) é necessário o cert SSL do Servidor RHN Satellite. Uma vez que estes requerimentos forem atendidos, proceda com os seguintes passos: 1. Baixe o certificado SSL para o cliente: cd /usr/share/rhn/ wget http://satellite.example.com/pub/rhn-org-trusted-ssl-cert 2. Edite o arquivo /etc/sysconfig/rhn/up2date: 5

Red Hat Network Satellite 5.5 Guia de Configuração do Cliente serverurl=https://satellite.example.com/xmlrpc nosslserverurl=http://satellite.example.com/xmlrpc sslcacert=/usr/share/rhn/rhn-org-trusted-ssl-cert 3. Registre a máquina: rhn_register 2.2.2. Registrando com Chaves de Ativação A Red Hat recomenda usar as chaves de ativação para registrar e configurar sistemas clientes que acessam o Servidor RHN Proxy ou RHN Satellite. As chaves de ativação podem ser usadas para registrar, atribuir serviços e registrar sistemas em massa. Consulte a seção "Chaves de Ativação" no Guia de Referência do RHN Satellite Server para instruções sobre uso. Ao registrar com a chave de ativação: 1. Gere uma Chave de Ativação (Consulte a seção "Chaves de Ativação" no RHN Satellite Server Reference Guide) 2. Importar chaves GPG personalizadas. 3. Fazer o download e instalar o RPM do Certificado SSL do diretório /pub/ do Servidor RHN Proxy ou RHN Satellite. O comando para este passo pode se parecer com o seguinte: rpm -Uvh http://satellite.example.com/pub/rhn-org-trusted-ssl-cert-1.0-1.noarch.rpm 4. Registrar o sistema com um Servidor RHN Proxy ou RHN Satellite: rhnreg_ks --activationkey mykey --serverurl https://satellite.example.com/xmlrpc Como forma alternativa, a maioria dos passos pode ser combinada em um script de terminal que inclui as seguintes linhas: wget -0 - http://satellite.example.com/pub/bootstrap.sh bash && rhnreg_ks --activation-key my_key --serverurl https://satellite.example.com/xmlrpc Note que o comando foi dividido em diversas linhas para impressão e PDF mas deve ser digitada como uma só linha na solicitação do terminal. O script bootstrap, gerado na instalação e disponível para os Servidores RHN Satellite e Proxy, é um destes. O script e o RHN Proxy Server que o geram são abordados em detalhes no Capítulo 5, Usando o RHN Bootstrap. 2.2.3. Usando a Opção up2date --configure O Red Hat Update Agent distribuído com o Red Hat Enterprise Linux 3 e 4, oferece interfaces para configurações diversas. Para obter uma lista completa destas configurações, consulte a página man do up2date (m an up2date na linha de comando). Para reconfigurar o Red Hat Update Agent, invoque o seguinte comando como usuário root: up2date --configure 6

Capítulo 2. Aplicações em Máquinas Clientes Você verá uma caixa de diálogo oferecendo várias opções que podem ser reconfiguradas. Na aba Geral, sob Selecionar um Servidor da Red Hat Network para usar, substitua o valor padrão pelo nome de domínio totalmente qualificado (fully qualified domain name, FQDN) dos Servidores RHN Satellite ou RHN Proxy Server, tal como https://your_proxy_or_sat.your_dom ain.com/xmlrpc. Mantenha /XMLRPC no final. Quanto terminar, clique em OK. Figura 2.1. Configuração Gráfica do Red Hat Update Agent Certifique-se de indicar o nome de domínio do seus Servidores RHN Satellite ou RHN Proxy Server, corretamente. Indicar um domínio incorreto ou deixá-lo em branco pode evitar que o up2date -- configure seja iniciado. Isto pode ser resolvido, no entanto, editando o valor no arquivo de configuração up2date. Consulte o Seção 2.2.4, Atualizando os Arquivos de Configuração Manualmente para obter instruções precisas. Atenção Os sistemas rodando Red Hat Enterprise Linux 3 ou 4 têm a funcionalidade de registro embutida no Red Hat Update Agent e portanto não precisam instalar o Red Hat Network Registration Client. Os sistemas rodando Red Hat Enterprise Linux 5 d 6 não utilizam o up2date, e precisam do rhn_register para registrar seus sistemas no RHN ou Satellite e do yum e pup para atualizar seus pacotes. 2.2.4. Atualizando os Arquivos de Configuração Manualmente Como alternativa à interface GUI descrita na seção anterior, os usuários também podem reconfigurar o Red Hat Update Agent editando os arquivos de configuração da aplicação. 7

Red Hat Network Satellite 5.5 Guia de Configuração do Cliente Para configurar o Red Hat Update Agent nos sistemas clientes conectando aos Servidores RHN Proxy ou RHN Satellite, edite os valores serverurl e nosslserverurl no arquivo de configuração /etc/sysconfig/rhn/up2date (como root). Substitua a URL padrão da Red Hat Network pelo nome de domínio totalmente qualificado (fully qualified domain name, FQDN) dos Servidores RHN Proxy ou RHN Satellite. Por exemplo: serverurl[comment]=remote server URL serverurl=https://your_primary.your_domain.com/xmlrpc nosslserverurl[comment]=remote server URL without SSL nosslserverurl=http://your_primary.your_domain.com/xmlrpc Atenção A configuração httpproxy em /etc/sysconfig/rhn/up2date não refere-se ao RHN Proxy Server. É usada para configurar um proxy HTTP opcional para o cliente. Tendo um servidor RHN Proxy, a configuração de httpproxy deve ser deixada em branco (sem nenhum valor determinado). 2.2.5. Implementando a Transferência (failover) de Servidores A partir do up2date-4.2.38, o Red Hat Update Agent pode ser configurado para procurar atualizações em diversos Servidores da RHN. Isto pode ser muito útil na manutenção de atualizações constantes, caso seu Servidor RHN Proxy ou RHN Satellite principal sofra uma queda e fique offline. Para utilizar este recurso: 1. Assegure-se de que você está executando a versão requerida ou uma mais recente do up2date assim como executando o Red Hat Enterprise Linux 5 ou 6. 2. Adicione manualmente os servidores secundários nas configurações do serverurl e nosslserverurl no arquivo de configuração (como usuário root) /etc/sysconfig/rhn/up2date. 3. Adicione nomes de domínios totalmente qualificados (FQDN) para o Proxy ou Satellite imediatamente após o servidor primário, separado por ponto e vírgula (;). Por exemplo: serverurl[comment]=remote server URL serverurl=https://satellite.example.com/xmlrpc; https://your_secondary.your_domain.com/xmlrpc; nosslserverurl[comment]=remote server URL without SSL nosslserverurl=http://satellite.example.com/xmlrpc; http://your_secondary.your_domain.com/xmlrpc; Existe a tentativa de conexão entre os servidores na ordem fornecida aqui. Inclua o máximo de servidores quanto for necessário. 2.3. O Applet do Atualizador de Pacotes O Red Hat Enterprise Linux 5 apresenta um programa de execução no painel gráfico do desktop, que verifica periodicamente atualizações do servidor RHN ou Satellite e irá alertar usuários quando uma nova atualização estiver disponível. 8

Capítulo 2. Aplicações em Máquinas Clientes Figura 2.2. Applet do Atualizador de Pacotes O Applet de Atualizador de Pacotes na bandeja de notificações do painel do desktop, verifica se há atualizações periodicamente. O applet também permite que você realize algumas tarefas de manutenção de pacotes clicando no ícone de notificação e escolhendo a partir das seguintes ações: Atualizar - Verifica o RHN ou Satellite por novas atualizações Visualizar Atualizações - lança o aplicativo do Atualizador de Pacotes para que você possa ver se há alguma atualização disponível em mais detalhes e configura as atualizações em suas especificações. Aplicar Atualizações - Baixa e Instala todos os pacotes atualizados. Sair - Fecha o applet 9

Red Hat Network Satellite 5.5 Guia de Configuração do Cliente Capítulo 3. Infra-estrutura da SSL Para os clientes da Red Hat Network, as questões de segurança são de suma importância. Uma das vantagens da Red Hat Network é sua habilidade em processar cada um dos pedidos através da Secure Sockets Layer, ou SSL. Para manter este nível de segurança, os clientes que instalarem a Red Hat Network em suas infra-estruturas devem gerar chaves e certificados SSL personalizados. É possível criar e empregar chaves e certificados SSL manualmente. Ambos servidores RHN Proxy e RHN Satellite, permitem a você criar suas próprias chaves e certificados SSL baseados na sua CA (Autoridade Certificadora) durante a instalação. Além disso, há um outro utilitário de linha de comando, RHN SSL Maintenance T ool, para este propósito. Independente do método escolhido, estas chaves e certificados devem ser empregados a todos os sistemas de sua infra-estrutura administrada. Em muitos casos, o emprego destas chaves e certificados SSL é automatizado. Este capítulo descreve os métodos eficazes para conduzir todas estas tarefas. Por favor note que este capítulo não aborda a SSL com profundidade. A RHN SSL Maintenance Tool foi desenvolvida para ocultar grande parte da complexidade envolvida na configuração e manutenção desta infra-estrutura de chave pública (public-key infrastructure, PKI). Para mais informações, por favor consulte alguma das diversas referências disponíveis na livraria mais próxima. 3.1. Uma Breve Introdução à SSL A SSL, ou Secure Sockets Layer, é um protocolo que possibilita às aplicações cliente-servidor passar informações com segurança. A SSL usa um sistema de pares de chaves pública e privada para criptografar a comunicação entre clientes e servidores. Os certificados públicos podem estar acessíveis, enquanto as chaves privadas devem estar protegidas. É a relação matemática (uma assinatura digital) entre uma chave privada e seu certificado público pareado que tornam este sistema funcional. Através desta relação, é estabelecida uma conexão confiável. Nota As chaves privadas SSL e certificados públicos serão discutidos ao long deste documento. Ambos podem ser chamados de chaves, uma pública e outra privada. No entanto, ao discutir sobre o SSL, é conveniente se referir a parte pública de um par de chaves SSL (ou um conjunto de chaves) como o certificado público SSL. A infra-estrutura de SSL de uma organização geralmente é composta destas chaves e certificados SSL: Chave privada e certificado público SSL da CA (Autoridade Certificadora) em geral, é gerado somente um conjunto por organização. O certificado público é assinado digitalmente por sua chave privada. O certificado público é distribuído para todos os sistemas. Chave privada e certificado público SSL do servidor Web um conjunto por servidor de aplicações. O certificado público é assinado digitalmente por ambos, sua chave privada e a chave privada SSL da CA. Frequentemente, referenciamos um conjunto de chaves do servidor Web, devido a existência de um pedido de certificado SSL intermediário que é gerado. Seus detalhes de uso não são importantes nesta abordagem. T odos os três são empregados num Servidor da RHN. Aqui segue um cenário: se você possui um Servidor Satellite e cinco RHN Proxy da RHN, você gerará um par de chaves SSL da CA e seis conjuntos de chaves SSL do servidor Web. O certificado público SSL da CA é distribuído a todos os sistemas e usado por todos os clientes para estabelecer uma conexão aos seus respectivos servidores. Cada servidor possui seu próprio conjunto de chaves SSL, especificamente ligado ao nome da máquina deste servidor e gerado usando suas próprias chaves 10

Capítulo 3. Infra-estrutura da SSL privadas SSL e chave pública SSL da CA combinadas. Assim, é estabelecida uma associação digitalmente verificável do certificado público SSL e o par de chaves SSL da CA com a chave privada do servidor. A chave do servidor Web não pode ser compartilhada com outros servidores web. Importante A parte mais crítica deste sistema é o par de chaves SSL da CA. A partir desta chave privada e certificado público, um administrador pode gerar qualquer conjunto de chaves SSL do servidor Web. Este conjunto de chaves SSL da CA deve estar protegido. Após toda a infra-estrutura de servidores da RHN estar configurada e operante, é altamente recomendado arquivar o diretório de criação SSL gerado por esta ferramenta e/ou pelos instaladores numa mídia separada, anotar a senha da CA e proteger a mídia e a senha num local seguro. 3.2. O RHN SSL Maintenance Tool A Red Hat Network oferece uma ferramenta de linha de comando para facilitar a administração de sua infra-estrutura protegida: a RHN SSL Management Tool, comumente conhecida por seu comando rhn-ssl-tool. Esta ferramenta é disponibilizada como parte do pacote rhns-certs-tools. Este pacote pode ser encontrado nos canais de software do RHN Proxy Server e RHN Satellite mais recentes (assim como na ISO do Servidor RHN Satellite). A RHN SSL Management T ool possibilita a você gerar seu próprio conjunto de chaves SSL da Autoridade Certificadora, assim como os conjuntos de chaves SSL do servidor Web (por vezes chamados de pares de chaves). Esta é somente uma ferramenta de criação que gera todas as chaves e certificados SSL necessários. T ambém empacota os arquivos no formato RPM para rápida distribuição e instalação em todas as máquinas clientes. Porém, não as implementa. Esta parte é deixada ao administrador ou em muitos casos é automatizada pelo RHN Satellite Server. Nota O rhns-certs-tools, que contém a rhn-ssl-tool, pode ser instalado e executado em qualquer sistema Red Hat Enterprise Linux corrente com requisitos mínimos. Esta é uma conveniência para administradores que desejam administrar suas infra-estruturas SSL a partir de seus computadores ou através de outro sistema além de seu(s) Servidor(es) da RHN. Aqui estão os casos nos quais a ferramenta é necessária: Ao atualizar a Autoridade do Certificado (CA) certificado público Ao instalar um servidor RHN Proxy versão 3.6 ou mais recente que conecta aos Servidores centrais da RHN como seu serviço principal - o serviço hospedado não pode ser um repositório de sua chave e certificado SSL da CA por motivos de segurança, já que são informações particulares de sua organização. Ao reconfigurar sua infra-estrutura RHN para usar SSL quando previamente não o fazia. Ao adicionar o RHN Satellite múltiplos à sua infra-estrutura RHN - consulte um representante da Red Hat para instruções sobre esta questão. Aqui estão os casos nos quais a ferramenta não é necessária: Durante a instalação de um servidor RHN Satellite - todas as configurações da SSL são definidas durante o processo de instalação. As chaves e certificado SSL são criados e empregados 11

Red Hat Network Satellite 5.5 Guia de Configuração do Cliente automaticamente. Durante a instalação de um RHN Proxy Server versão 3.6 ou mais recente se conectado a um RHN Satellite Server versão 3.6 ou mais recente como seu serviço principal - o RHN Satellite Server contém todas as informações necessárias da SSL para configurar, criar e empregar as chaves e certificados SSL do RHN Proxy Server. Os procedimentos de instalação do RHN Satellite Server and the RHN Proxy garantem que o certificado público SSL da CA seja empregado no diretório /pub de cada servidor. Este certificado público é usado pelos sistemas clientes para conectar ao Servidor da RHN. Consulte a Seção 3.3, Empregando o Certificado Público SSL da CA nos Clientes para mais informações. Em sumo, se a Infraestrutura da RHN de uma empresa implementa a versão mais recente do Servidor RHN Satellite como seu serviço de alto nível, deve haver pouca necessidade da ferramenta. 3.2.1. Gerando os Certificados SSL Os principais benefícios de usar a RHN SSL Maintenance T ool são segurança, flexibilidade e portabilidade. A segurança é oferecida pela criação de chaves e certificados SSL do servidor Web distintos para cada servidor da RHN; todos assinados por um único par de chaves SSL da Autoridade Certificadora SSL criados pela sua organização. A flexibilidade é oferecida pela habilidade da ferramenta em executar em qualquer máquina que tenha o pacote rhns-certs-tools instalado. A portabilidade reside numa estrutura criada, que pode ser armazenada em qualquer lugar para sua proteção, e então instalada onde a necessidade surgir. Novamente: se o Servidor RHN principal de sua infra-estrutura RHN é o RHN Satellite Server, mais recente, o máximo que você precisa fazer é recuperar sua árvore ssl-build de um arquivo para o diretório /root e utilizar as ferramentas de configuração providas no site do RHN Satellite Server,. Para utilizar a RHN SSL Maintenance T ool da melhor maneira possível, complete as seguintes tarefas relativamente nesta ordem. Consulte as seções remanescentes para mais detalhes: 1. Instale o pacote rhns-certs-tools em um sistema de sua organização. T alvez, mas não necessariamente, num servidor RHN Satellite Server or RHN Proxy. 2. Crie um certificado único de par de chaves Autoridade de Certificado SSL para a empresa e instale o RPM resultando no RPM ou certificado público em todos os sistemas cliente. Consulte o Seção 3.2.3, Gerando o Par de Chaves SSL da Autoridade Certificadora (Certificate Authority) para mais informações. 3. Crie um conjunto de chaves SSL do servidor Web para cada um dos Proxies e Satellites a serem empregados e instale os RPMs resultantes nos Servidores da RHN. 4. Reinicie o serviço httpd: /sbin/service httpd restart 5. Arquive a árvore de criação (build tree) da SSL - consistindo do diretório de criação principal e todos os sub-diretórios e arquivos - numa mídia removível, como um disquete (floppy). (Os requisitos de espaço em disco são insignificantes.) 6. Verifique e então armazene aquele arquivo numa localidade segura, como a descrita para backups nas seções Requisitos Adicionais dos guias de instalação do Proxy ou do Satellite. 7. Memorize e proteja a senha da CA para uso futuro. 8. Remova a árvore de criação do sistema de criação por razões de segurança, mas somente quando toda a infra-estrutura RHN estiver pronta e configurada. 12

Capítulo 3. Infra-estrutura da SSL Nota Quando forem necessários conjuntos adicionais de chaves SSL de servidor Web, recupere a árvore de criação num sistema rodando a RHN SSL Maintenance Tool e repita os passos 3 a 7. 3.2.2. Opções da RHN SSL Maintenance Tool A RHN SSL Maintenance Tool oferece uma grande variedade de opções de linha de comando para gerar seu conjunto de chaves SSL da Autoridade Certificadora e administrar os certificados e chaves SSL do seu servidor. A princípio, a ferramenta oferece três listas de ajuda para as opções na linha de comando: rhn-ssl-tool --help (geral), rhn-ssl-tool --gen-ca --help (Autoridade Certificadora) e rhn-ssl-tool --gen-server --help (Servidor Web). A página man da rhn-ssltool também é bastante detalhada e útil: m an rhn-ssl-tool. As duas tabelas abaixo dividem as opções de acordo com a tarefa relacionada; a geração de conjuntos de chaves SSL do servidor Web ou da CA. Este conjunto de opções deve ser precedido pelo argumento --gen-ca: 13

Red Hat Network Satellite 5.5 Guia de Configuração do Cliente T abela 3.1. Opções da SSL da Autoridade Certificadora (CA) (rhn-ssl-tool --gen-ca -- help) Opção --gen-ca -h, --help -f, --force -p=, --password=senha Descrição Gera um par de chaves e RPM público da Autoridade Certificadora (CA). Este deve ser invocado com qualquer uma das opções remanescentes nesta tabela. Apresenta a tela de ajuda com uma lista de opções básicas específicas para a geração e administração de uma Autoridade Certificadora (Certificate Authority). Força a criação uma nova chave privada e/ou certificado público da CA. A senha da CA. Você deverá especificá-la, caso ainda não o tenha feito. Grave-a de forma segura. -d=, --dir=diretório_criação Requisitado para a maioria dos comandos - O diretório no qual os certificados e RPMs são criados. O padrão é./ssl-build. --ca-key=filename --ca-cert=filename --cert-expiration=ca_cert_expire --set-country=country_code --set-state=state_or_province --set-city=city_or_locality --set-org=organization --set-org-unit=set_org_unit --set-com m on-nam e=hostname --set-em ail=email --rpm-packager=packager --rpm-vendor=vendor -v, --verbose O nome do arquivo da chave privada da CA. O padrão é RHN-ORG-PRIVAT E-SSL- KEY. O nome do arquivo do certificado público da CA. O padrão é RHN-ORG-TRUSTED- SSL-CERT. A data de expiração do certificado público da CA. O padrão é o número de dias até a véspera da data de transição (epoch rollover ou 18-01-2038) A código de duas letras do país. O padrão é US. O estado ou província da CA. O padrão é ''. A cidade ou localidade. O padrão é ''. A empresa ou organização, tal como Red Hat. O padrão é Example Corp. Inc. A unidade organizacional, como RHN. O padrão é ''. Não é tipicamente definido para a CA. - O nome comum. Não é tipicamente definido para a CA. - O endereço de e-mail. Empacotador do RPM gerado, tal como "Admin da RHN (adminrhn@exemplo.com.br)." Distribuidor do RPM gerado, tal como "Exemplo TI Corp." Apresenta mensagem verbosa. 14

Capítulo 3. Infra-estrutura da SSL --ca-cert-rpm =CA_CERT_RPM --key-only --cert-only --rpm-only --no-rpm Acumulativa - adicionar "v"s resulta em mais detalhes. Raramente alterado - nome do RPM que armazena o certificado da CA (o nome de arquivo base, não o filename-versionrelease.noarch.rpm). Raramante usada - Gera somente uma chave privada da CA. Reveja --gen-ca - -key-only --help para mais informações. Rarament usada - Gera somente o certificado público da CA. Reveja --genca --cert-only --help para mais informações. Raramente usada - Gera somente um RPM para ser empregado. Reveja --gen-ca - -rpm-only --help para mais informações. Raramante usada - Conduz todos os passos relacionados à CA exceto a geração do RPM. O conjunto de opções a seguir deve ser precedido pelo argumento --gen-server: 15

Red Hat Network Satellite 5.5 Guia de Configuração do Cliente T abela 3.2. Opções SSL do Servidor Web (rhn-ssl-tool --gen-server --help) Opção --gen-server -h, --help -p=, --password=senha Descrição Gera o conjunto de chaves, o RPM e o arquivo tar da SSL do servidor Web. Apresenta a tela de ajuda com uma lista de opções base, específicas para a geração e administração de um par de chaves de servidor. A senha da CA. Você deverá especificá-la, caso ainda não o tenha feito. Grave-a de forma segura. -d=, --dir=diretório_criação Requisitado para a maioria dos comandos - O diretório no qual os certificados e RPMs são criados. O padrão é./ssl-build. --server-key=filename --server-cert-req=filename --server-cert=filename --startdate=yymmddhhmmssz --cert-expiration=server_cert_expire --set-country=country_code --set-state=state_or_province --set-city=city_or_locality --set-org=organization --set-org-unit=set_org_unit --set-hostnam e=hostname --set-em ail=email --rpm-packager=packager O nome do arquivo da chave privada SSL do servidor Web. O padrão é server.key. O nome do arquivo do pedido do certificado SSL do servidor Web. O padrão é server.csr. O nome do arquivo do certificado SSL do servidor Web. O padrão é server.crt. A data inicial da validade do certificado do servidor no formato do exemplo: ano, mês, dia do mês, hora, minuto, segundo (dois caracteres por valor). Z é de Zulu e é necessário. O padrão é uma semana antes da geração. A data de expiração do certificado do servidor. O padrão é o número de dias até a véspera da transição (epoch rollover ou 18-01-2038). A código de duas letras do país. O padrão é US. O estado ou a província. O padrão é North Carolina. A cidade ou localidade. O padrão é Raleigh. A empresa ou organização, tal como a Red Hat. O padrão é o Example Corp. Inc. A unidade organizacional, tal como RHN. O padrão é unit. O nome da máquina do Servidor RHN a receber a chave. O padrão é dinamicamente definido para o nome da máquina de criação. O endereço de e-mail do contato do certificado. O padrão é admin@example.corp. Empacotador do RPM gerado, tal como 16

Capítulo 3. Infra-estrutura da SSL --rpm-vendor=vendor -v, --verbose --key-only --cert-req-only --cert-only --rpm-only --no-rpm --server-rpm =SERVER_RPM --server-tar=server_tar "Admin da RHN (adminrhn@exemplo.com.br)." Distribuidor do RPM gerado, tal como "Exemplo TI Corp." Apresenta mensagem verbosa. Acumulativa - adicionar "v"s resulta em mais detalhes. Raramente usada - Gera somente uma chave privada do servidor. Reveja --genserver --key-only--help para mais informações. Raramente usada - Gera somente um pedido de certificado do servidor. Reveja - -gen-server --cert-req-only -- help para mais informações. Raramente usada - Gera somente um certificado do servidor. Reveja --genserver --cert-only --help para mais informações. Raramente usada - Gera somente um RPM para ser empregado. Reveja --genserver --rpm-only --help para mais informações. Raramente usada - Conduz todos os passos relativos ao servidor exceto pela geração do RPM. Raramente alterada - nome do RPM que contém o conjunto de chaves SSL do sevidor Web (o nome base do arquivo e não filename-version-release.noarch.rpm). Raramente alterada - Nome do arquivo.tar do conjunto de chaves SSL e certificado público da CA do servidor, usado somente pelas rotinas de instalação do Servidor RHN Proxy hospedado (o nome base do arquivo e não filename-version-release.tar). 3.2.3. Gerando o Par de Chaves SSL da Autoridade Certificadora (Certificate Authority) Antes de criar o conjunto de chaves SSL requisitado pelo servidor Web, você deve gerar um par de chaves SSL da Autoridade Certificadora (CA). Um certificado público SSL da CA é distribuído aos sistemas clientes do Satellite ou do Proxy. A RHN SSL Maintenance Tool permite a você gerar o par de chaves SSL da CA, se necessário, e reutilizá-las para todas as outras implementações de servidor RHN subsequentes. O processo de criação automaticamente cria o par de chaves e o RPM público para distribuição aos clientes. T odos os componentes da CA acabam no diretório de criação especificado na linha de comando; geralmente em /root/ssl-build (ou /etc/sysconfig/rhn/ssl para Satellites e Proxies mais antigos). Para gerar um par de chaves SSL da CA, invoque um comando como este: 17