🏪 🙎🏼 🖕 दोस्तों कैसे बनाये Ovirt और Let’s Encrypt 🥕 🤸🏿 🖖🏽

बुनियादी ढांचे में सुधार के मार्ग के साथ चलते हुए, मैंने प्राचीन और दर्दनाक सवाल को खत्म करने का फैसला किया - सहयोगियों (डेवलपर्स, परीक्षक, व्यवस्थापक, आदि) को स्वतंत्र रूप से बिना किसी अतिरिक्त इशारों के अपने कंप्यूटर को ओवेरेट में प्रबंधित करने की क्षमता प्रदान करने के लिए। Ovirt में कई घटक हैं जिन्हें मेरे प्रश्न को हल करने के लिए कॉन्फ़िगर करने की आवश्यकता है: वेब इंटरफ़ेस ही, noVNC कंसोल, और डिस्क छवियों में भरना।

मुझे बटन "फ़्लिक" नहीं मिला, इसलिए मैं दिखाता हूं कि इस समस्या को हल करने के लिए मैंने कौन सा पेन घुमाया। कट के तहत पूर्ण निर्देश:

अस्वीकरण:

शुरू करने से पहले, मैं इस तथ्य पर ध्यान आकर्षित करना चाहूंगा कि किसी कारण से मेरे लिए अज्ञात, निजी ज़ोन लैन, स्थानीय और इतने पर बुनियादी ढांचे के डोमेन बनाए जाते हैं।

मुझे सार्वजनिक क्षेत्र में संगठन के डोमेन का उपयोग करने से क्या रोकता है यह मेरे लिए अज्ञात है। उदाहरण के लिए, डोमेन एलेक्स-GLuck-Awesome-Company.local के बजाय, आप सुरक्षित रूप से कंपनी की साइट के लिए डोमेन का उपयोग कर सकते हैं एलेक्स-GLuck-Awesome-Company.com।

यदि आप डरते हैं कि आप अपने संगठन में डोमेन का ट्रैक नहीं रख पाएंगे, और यह कुछ तोड़ देगा, तो एक साल में 100 रूबल के लिए आप aglac.com बुनियादी ढांचे के लिए एक अलग डोमेन ले सकते हैं।

सार्वजनिक क्षेत्रों में डोमेन का उपयोग करना अधिक लाभदायक क्यों है:

1. आपके संगठन के भीतर आपके सार्वजनिक स्थान पर दिखाई देने वाली सेवाएं: वीपीएन, फ़ाइल साझाकरण (सीफाइल, नेक्लाउड) और अन्य। ऐसी सेवाओं पर ट्रैफ़िक एन्क्रिप्शन को कॉन्फ़िगर करना आमतौर पर एक ब्लोपर की तरह दिखता है, और हम खुद को मिटएम से सुरक्षित नहीं करेंगे, क्योंकि यह मुश्किल है (वास्तव में नहीं)।

या कार्यालय के अंदर आपके पास एक सेवा का पता है, और दूसरा इंटरनेट से, और इन संचारों को बनाए रखा जाना चाहिए, जो हमारे सीमित विशेषज्ञ संसाधनों पर खर्च किए जाते हैं। खैर, कर्मचारियों को अलग-अलग पते याद रखने होंगे, जो असुविधाजनक है।

2. आप अपनी आंतरिक सेवाओं को एन्क्रिप्ट करने के लिए नि: शुल्क प्रमाणपत्र अधिकारियों का उपयोग कर सकते हैं।

खुद पीकेआई एक ऐसी सेवा है जिसका समर्थन करने की आवश्यकता है, कर्मचारियों को उस समय के लिए मुफ्त प्रमाणपत्र अधिकारियों से पीकेआई का उपयोग करने के अवसर के लिए 100 रूबल की आवश्यकता होती है जो अन्य कार्यों पर खर्च कर सकते हैं।

3. अपने स्वयं के प्रमाणन प्राधिकरण का उपयोग करते समय, आप अपने दूरस्थ कर्मचारियों और सहकर्मियों के पहियों में चिपक जाएंगे जो BYOD के साथ काम करना चाहते हैं (अपने लैपटॉप, फोन, टैबलेट) लाएं और आप उनके उपकरणों को नियंत्रित नहीं कर सकते। वे पॉपपीज़, लिनक्स, एंड्रॉइड, आईओएस, विंडोज लाते हैं - ऐसे चिड़ियाघर का समर्थन करने का कोई मतलब नहीं है।

सभी में, निश्चित रूप से, अपवाद हैं, और अन्य कठोर उद्यमों वाले बैंक जिन्होंने सुरक्षा नीतियां स्थापित की हैं, वे कभी भी अपने कर्मचारियों के लिए सेवा में सुधार नहीं कर पाएंगे।

उनके लिए भुगतान किए गए प्रमाणीकरण प्राधिकारी हैं, जो एक निश्चित राशि के लिए अपने सीए प्रमाणपत्र (Google "रूट हस्ताक्षर सेवा") पर हस्ताक्षर कर सकते हैं।

सार्वजनिक डोमेन का उपयोग करने के लिए और अधिक लाभदायक क्यों हैं इसके अन्य कारण हैं (सबसे महत्वपूर्ण बात यह है कि यह आपके लिए है), लेकिन लेख उस बारे में नहीं है।

नीचे की रेखा, लेकिन बिंदु ...

चेतावनी! यदि आप अंडाकार की विश्वसनीय सूची में एनएफ़ एनक्रिप्ट का सीए प्रमाण पत्र जोड़ते हैं, तो यह आपके सिस्टम की सुरक्षा को प्रभावित कर सकता है!

पहली चीज जिस पर आपको ध्यान देने की आवश्यकता है, वह यह है कि इंटरनेट पर इंटरनेट का इंटरफ़ेस डालना एक बुरा अभ्यास है, क्योंकि यह कोई व्यावहारिक समझ नहीं देता है, और अतिरिक्त सुरक्षा खतरे पैदा करता है।

इसलिए, आपको हमारे कुछ गढ़ मेजबानों पर एक प्रमाण पत्र प्राप्त करने की आवश्यकता है, और फिर ओवेरिट-इंजन के साथ हमारे मेजबान को प्रमाण पत्र और कुंजी स्थानांतरित करें।

हम अपने ovirtengine.example.com ovirt नाम के साथ DNS में हमारे गढ़ होस्ट के बाहरी पते को जोड़ते हैं , मैं पर्दे के पीछे से सर्टिफिकेट और नेग्नेक्स की स्थापना छोड़ दूंगा (हब पर यह कैसे करना है यह पहले ही वर्णित किया गया है)।

Nginx संस्करण को कॉन्फ़िगर करना> = 1.15.7

/etc/nginx/conf.d/default.conf

server { server_name _; listen 80 default_server; location /robots.txt { alias /usr/share/nginx/html/robots.txt; } location /.well-known { root /usr/share/nginx/html; } location / { return 444; } } server { server_name _; listen 443 ssl http2 default_server; location /robots.txt { alias /usr/share/nginx/html/robots.txt; } location /.well-known { root /usr/share/nginx/html; } ssl_certificate /etc/nginx/ssl/$ssl_server_name/fullchain.pem; ssl_certificate_key /etc/nginx/ssl/$ssl_server_name/privkey.pem; ssl_protocols TLSv1.2; ssl_prefer_server_ciphers on; ssl_dhparam /etc/nginx/ssl/dhparam.pem; ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA'; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; #    OCSP-,         ssl_stapling on; ssl_stapling_verify on; add_header Strict-Transport-Security max-age=15768000; location / { return 444; } }

तब हमें अपना प्रमाणपत्र और चाबी मिलती है:

 certbot certonly --nginx -d ovirtengine.example.com

हम अपने प्रमाणपत्र और कुंजी को संग्रहीत करते हैं:

 tar Phczf /tmp/ovirtengine.example.com.tgz /etc/letsencrypt/live/ovirtengine.example.com

गढ़ होस्ट से संग्रह डाउनलोड करें, इसे हमारे ovirt-enzhin पर अपलोड करें:

 scp bastion-host:/tmp/ovirtengine.example.com.tgz /tmp/ scp /tmp/ovirtengine.example.com.tgz ovirtengine.example.com:/

लक्ष्य पर जाएं

इसके बाद, हम अपने संग्रह को अनपैक करते हैं और फ़ाइल लोकेशन सिस्टम की समझ को आसान बनाने के लिए सिमिलिंक बनाते हैं:

 tar Pxzf /ovirtengine.example.com.tgz && rm -f ovirtengine.example.com.tgz mkdir -p /etc/letsencrypt/live ln -f -s /etc/letsencrypt/live /etc/pki/letsencrypt

हम प्रमाण पत्र सत्यापन के लिए जावा सर्टिफिकेट स्टोर (ओपनजेडक) का उपयोग करने के लिए ओवेरिट में निर्मित पक्की को कॉन्फ़िगर करते हैं:

 cat << EOF > /etc/ovirt-engine/engine.conf.d/99-setup-pki.conf ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts" ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD="" EOF

हम सीए को लेट्स इनक्रिप्ट से डेर फॉर्मेट में कन्वर्ट करते हैं और जावा ट्रस्ट स्टोर के सर्टिफिकेट स्टोर में एक ओवेरेट जोड़ते हैं (यह एक ऐसा कंटेनर है जहां प्रमाणपत्र की सूची स्थित है, ऐसी प्रणाली का उपयोग जावा में किया जाता है):

 openssl x509 -outform der -in /etc/pki/letsencrypt/ovirtengine.example.com/chain.pem -out /tmp/ovirtengine.example.com.chain.der keytool -import -alias "Let's Encrypt Authority X3" -file /tmp/ovirtengine.example.com.chain.der -keystore /etc/pki/ovirt-engine/.truststore -storepass $(grep '^ENGINE_PKI_TRUST_STORE_PASSWORD' /etc/ovirt-engine/engine.conf.d/10-setup-pki.conf | cut -f 2 -d '"') rm -f /tmp/ovirtengine.example.com.chain.der

हम एपाचे के लिए एसएसएल सेटिंग्स को संपादित करते हैं, सीमलिंक का समर्थन करने के लिए पैरामीटर जोड़ते हैं और सीए के लिए पैरामीटर निकालते हैं, जो प्रमाण पत्रों की जांच करेगा (डिफ़ॉल्ट रूप से, सिस्टम सत्यापन के लिए सेट किए गए विश्वसनीय सीए का उपयोग करेगा):

 sed -r -i 's|^(SSLCACertificateFile.*)|#\1|g' /etc/httpd/conf.d/ssl.conf sed -r -i '0,/(^#?SSLCACertificateFile.*)/ s//\1\nOptions FollowSymlinks/' /etc/httpd/conf.d/ssl.conf

उसके बाद, बस के मामले में, हम PKI ovirt'a के माध्यम से उत्पन्न मूल फ़ाइलों को स्वचालित रूप से बैकअप करेंगे और लेट्स एनक्रिप्ट से फ़ाइलों के साथ सहानुभूति को प्रतिस्थापित करेंगे:

 ln -f -s /etc/pki/letsencrypt/ovirtengine.example.com/fullchain.pem /etc/pki/ovirt-engine/apache-chain.pem services=( 'apache' 'imageio-proxy' 'websocket-proxy' ) for i in "${services[@]}"; do cp /etc/pki/ovirt-engine/certs/$i.cer{,."$( date +%F )".bak} cp /etc/pki/ovirt-engine/keys/$i.key.nopass{,."$( date +%F )".bak} ln -f -s /etc/pki/letsencrypt/ovirtengine.example.com/privkey.pem /etc/pki/ovirt-engine/keys/$i.key.nopass ln -f -s /etc/pki/letsencrypt/ovirtengine.example.com/cert.pem /etc/pki/ovirt-engine/certs/{apache,imageio-proxy,websocket-proxy}.cer done

हम फाइलों पर सेलाइनक्स संदर्भों को पुनर्स्थापित करते हैं और हमारी सेवाओं (httpd, ovirt-engine, ovirt-imageio -xy, ovirt-websocket -xy) को फिर से शुरू करते हैं:

 restorecon -Rv /etc/pki systemctl restart httpd ovirt-engine ovirt-imageio-proxy ovirt-websocket-proxy

httpd - अपाचे वेब सर्वर
ovirt- इंजन - ovirt वेब इंटरफ़ेस
ovirt-imageio- प्रॉक्सी - डिस्क छवियों को लोड करने के लिए डेमन
ovirt-websocket- प्रॉक्सी - noVNC कंसोल को चलाने के लिए सेवा

उपरोक्त सभी का परीक्षण अंडाकार के संस्करण 4.2 पर किया गया है।

अंडाकार के लिए ऑटो नवीनीकरण प्रमाणपत्र

अच्छी सुरक्षा प्रथाओं के अनुसार, गढ़ होस्ट और ओवेरिट के बीच संबंध नहीं होना चाहिए, और प्रमाण पत्र केवल 3 महीने के लिए जारी किया जाता है। यह वह जगह है जहां एक विवादास्पद बिंदु दिखाई देता है कि मैंने प्रमाण पत्र नवीकरण कैसे लागू किया है।

मेरे पास एक एसेम्बल प्लेबुक है जो एक शेड्यूल पर रोजाना सुबह 5 बजे फोरमैन पर चलती है। यह प्लेबुक ओवेरिट में जाती है, सर्टिफिकेट वैलिडिटी पीरियड की जांच करती है और अगर एक्सपायरी से पहले 5 दिन से कम बची है, तो यह बास्टियन होस्ट के पास जाती है और सर्टिफिकेट रिन्यूवल शुरू करती है।

प्रमाण पत्र को अपडेट करने के बाद, यह फ़ाइलों के साथ फ़ोल्डर को संग्रहीत करता है, होस्ट के लिए फॉर्मैन को डाउनलोड करता है, और ओवेरेट होस्ट को अनज़िप करता है। फिर यह फाइलों पर सेलाइनक्स संदर्भों को पुनर्स्थापित करता है और हमारी सेवाओं को पुनरारंभ करता है।

दोस्तों कैसे बनाये Ovirt और Let’s Encrypt

अस्वीकरण:

नीचे की रेखा, लेकिन बिंदु ...

लक्ष्य पर जाएं

अंडाकार के लिए ऑटो नवीनीकरण प्रमाणपत्र

More articles: