Различия

Здесь показаны различия между двумя версиями данной страницы.

--- libvirt:libvirt [2019-02-18 13:44]
GreyWolf
+++ libvirt:libvirt [2020-08-28 12:33] (текущий)
GreyWolf [Настройка клиента]
@@ Строка 25: / Строка 25: @@
 Стандартный вариант создания ключей и сертификатов для работы по TLS [[libvirt:tls|libvrt — TLS]]
-  * cakey.pem - Your CA's private key (keep this very secret!)
+===== Файлы =====
-  * cacert.pem - Your CA's certificate (this is public).
-  * serverkey.pem - The server's private key.
+  * ''[[#cakey.pem]]''
-  * servercert.pem - The server's public key.
+Сервер
+  * ''[[#cacert.pem]]''
+  * ''[[#serverkey.pem]]''
+  * ''[[#servercert.pem]]''
+Клиент
+  * ''[[#cacert.pem]]''
+  * ''[[#clientkey.pem]]''
+  * ''[[#clientcert.pem]]''
+==== cakey.pem ====
+Ключ центра сертификации, он должен храниться в надёжном месте.
+Его нельзя хранить на серверах и клиентах!
+==== cacert.pem ====
+Сертификат центра сертификации
+==== serverkey.pem ====
+Ключ сервера
+==== servercert.pem ====
+Сертификат сервера
+==== clientkey.pem ====
+Ключ клиента
+==== clientcert.pem ====
+Сертификат клиента
 ===== Настройка клиента  =====
-<BOOKMARK:tlsclient>
+{{anchor:tlsclient}}
 Копирование файлов клиента
@@ Строка 43: / Строка 74: @@
 cp libvrt-user.crt /etc/pki/libvirt/clientcert.pem
 cp libvrt-user.pem /etc/pki/libvirt/private/clientkey.pem
+chgrp libvirt /etc/pki/CA/cacert.pem
+chgrp libvirt /etc/pki/libvirt/clientcert.pem
+chgrp libvirt /etc/pki/libvirt/private/clientkey.pem
 </code>
 ===== Настройка сервера =====
-<BOOKMARK:tlsserver>
+{{anchor:tlsserver}}
 Копирование файлов на сервере
 <code bash pki-libvirt_server.sh>
@@ Строка 59: / Строка 95: @@
 </code>
-===== libvirtd =====
+==== libvirtd для TLS ====
-[[https://wiki.libvirt.org/page/FAQ#Will_restarting_the_libvirt_daemon_stop_my_virtual_machines.3F|FAQ - Libvirt Wiki — 1.2.5 Will restarting the libvirt daemon stop my virtual machines?]]
+{{anchor:tlslibvirtd}}
-Настройка
+Здесь описан процесс настройки демона ''libvirtd'' для работы по TLS
-<code ini /etc/default/libvirtd>
+  - Нужно исправить файл запуска демона:<code ini /etc/default/libvirtd>libvirtd_opts="-l"</code>
-libvirtd_opts="-l"
+  - Внести изменения в файл настройки, минимальные изменения: <code ini /etc/libvirt/libvirtd.conf>
-</code>
+listen_tls = 1
+listen_tcp = 1
-<code ini /etc/libvirt/libvirtd.conf>
+</code> или изменения включающие настройку сертификатов, ключей и списка отзыва сертификатов: <code ini /etc/libvirt/libvirtd.conf>
 listen_tls = 1
 listen_tcp = 1
@@ Строка 76: / Строка 112: @@
 crl_file = "/etc/pki/CA/crl.pem"
 </code>
+  - Выполнить перезапуск демона: <code bash>service libvirtd restart</code> :!: При перезапуске демона ''libvirtd'' гостевые домены (виртуальные машины) **будут работать**! ([[https://wiki.libvirt.org/page/FAQ#Will_restarting_the_libvirt_daemon_stop_my_virtual_machines.3F|FAQ - Libvirt Wiki — 1.2.5 Will restarting the libvirt daemon stop my virtual machines?]])
-Минимальные изменения:
+  - Проверка: <code bash>netstat -lntp | grep libvirtd</code> Пример вывода: <code>
-<code ini /etc/libvirt/libvirtd.conf>
-listen_tls = 1
-listen_tcp = 1
-</code>
-Перезапуск демона:
-<code bash>
-service libvirtd restart
-</code>
-Проверка:
-<code bash>
-netstat -lntp | grep libvirtd
-</code>
-Пример вывода:
-<code>
 tcp        0      0 0.0.0.0:16509           0.0.0.0:*               LISTEN      5594/libvirtd
 tcp        0      0 0.0.0.0:16514           0.0.0.0:*               LISTEN      5594/libvirtd
@@ Строка 100: / Строка 119: @@
 tcp6       0      0 :::16514                :::*                    LISTEN      5594/libvirtd
 </code>
 ====== Ссылки ======

Мозаика системного администрирования

Инструменты пользователя

Инструменты сайта

Различия

Инструменты страницы