安装私人CA证书
如果您的组织使用内部证书颁发机构(CA)来签署托管内部服务的服务器上的证书,则需要在Orchestrator的虚拟机上安装私有CA证书。这允许RAPIT7插件连接到组织的安全内部站点。
CA证书从主机映射到运行插件容器中。一个间隔计时器主动克隆主机的CA证书目录,并将其直接绑定到插件容器中。证书转换为.cr.格式。
将证书转换为PEM(Base64)格式
为了将CA证书或CA证书链导入orchestrator,您需要将文件转换为PEM.pem.(base64)格式。
证书格式
如果您的文件已经是PEM格式;跳过本节并开始安装CA证书。
转换A..p7b.文件到.pem.,运行以下命令:$openssl pkcs7-打印证书-输入证书.p7b-输出证书.pem
转换A.德先生(二进制)文件.pem.,运行以下命令:$ openssl x509 -inform der -in certificate.cer -out certification.pem
安装专用CA证书
你会需要根访问Orchestrator的虚拟机以安装CA证书。
要安装私人CA证书:
- 打开终端窗口。
- 跑
md5sum /etc/pki/tls/certs/ca-bundle.crt.检查主CA捆绑的散列和。这返回主CA捆绑的HashSum和地址。您稍后会检查更新的哈希值。 - 重命名证书文件以使用
.cr.扩展名,如果文件当前处于.pem.格式。为此,运行mv myCAroot.pem myCAroot.crt。 - 跑
cp myCAroot.crt/etc/pki/ca-trust/source/anchors复制CA根证书。 - 跑
sudo更新 - ca-trust更新信任链。 - 跑
md5sum /etc/pki/tls/certs/ca-bundle.crt.要验证更新的主要CA捆绑。如果捆绑包成功更新,它将返回不同的哈希,而不是第一个的值md5sum命令。
在orchestrator配置文件中启用CA捆绑镜像:
安装专用CA证书后,请为您的orchestrator启用CA捆绑镜像:
- 通过SSH或Virtual控制台连接到Orchestrator并运行
orch-config.。这将打开VIM文本编辑器中的配置文件。 - 通过键入进入编辑模式
一世。解释KOMAND_CA_CERT_MIRROR_DIR = / OPT / RAPIT7 / ORORSTRATOR / CA-CERT-MIRROR线路和KOMAND_CA_CERT_MIRROR_ENABLED=真通过删除散列#在这些行的开头标记。按保存更改电子稳定控制系统按钮,然后键入:WQ!。 - 通过运行命令停止编排器
跑车站。 - 通过运行清除任何旧插件容器
sudo docker ps-aq |XARGS SUDO DOCKER RM -F - 用命令重新启动Orchestrator
Orch-start.。
这页对你有帮助吗?