Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
libvirt:libvirt [2019-02-18 13:44] GreyWolf |
libvirt:libvirt [2020-08-28 12:33] (текущий) GreyWolf [Настройка клиента] |
||
---|---|---|---|
Строка 25: | Строка 25: | ||
Стандартный вариант создания ключей и сертификатов для работы по TLS [[libvirt:tls|libvrt — TLS]] | Стандартный вариант создания ключей и сертификатов для работы по TLS [[libvirt:tls|libvrt — TLS]] | ||
- | * cakey.pem - Your CA's private key (keep this very secret!) | + | ===== Файлы ===== |
- | * cacert.pem - Your CA's certificate (this is public). | + | |
- | * serverkey.pem - The server's private key. | + | * ''[[#cakey.pem]]'' |
- | * servercert.pem - The server's public key. | + | |
+ | Сервер | ||
+ | * ''[[#cacert.pem]]'' | ||
+ | * ''[[#serverkey.pem]]'' | ||
+ | * ''[[#servercert.pem]]'' | ||
+ | |||
+ | Клиент | ||
+ | * ''[[#cacert.pem]]'' | ||
+ | * ''[[#clientkey.pem]]'' | ||
+ | * ''[[#clientcert.pem]]'' | ||
+ | |||
+ | ==== cakey.pem ==== | ||
+ | Ключ центра сертификации, он должен храниться в надёжном месте. | ||
+ | |||
+ | Его нельзя хранить на серверах и клиентах! | ||
+ | |||
+ | ==== cacert.pem ==== | ||
+ | Сертификат центра сертификации | ||
+ | |||
+ | ==== serverkey.pem ==== | ||
+ | Ключ сервера | ||
+ | |||
+ | ==== servercert.pem ==== | ||
+ | Сертификат сервера | ||
+ | |||
+ | |||
+ | ==== clientkey.pem ==== | ||
+ | Ключ клиента | ||
+ | |||
+ | ==== clientcert.pem ==== | ||
+ | Сертификат клиента | ||
===== Настройка клиента ===== | ===== Настройка клиента ===== | ||
- | <BOOKMARK:tlsclient> | + | {{anchor:tlsclient}} |
Копирование файлов клиента | Копирование файлов клиента | ||
Строка 43: | Строка 74: | ||
cp libvrt-user.crt /etc/pki/libvirt/clientcert.pem | cp libvrt-user.crt /etc/pki/libvirt/clientcert.pem | ||
cp libvrt-user.pem /etc/pki/libvirt/private/clientkey.pem | cp libvrt-user.pem /etc/pki/libvirt/private/clientkey.pem | ||
+ | |||
+ | chgrp libvirt /etc/pki/CA/cacert.pem | ||
+ | chgrp libvirt /etc/pki/libvirt/clientcert.pem | ||
+ | chgrp libvirt /etc/pki/libvirt/private/clientkey.pem | ||
+ | |||
</code> | </code> | ||
===== Настройка сервера ===== | ===== Настройка сервера ===== | ||
- | <BOOKMARK:tlsserver> | + | {{anchor:tlsserver}} |
Копирование файлов на сервере | Копирование файлов на сервере | ||
<code bash pki-libvirt_server.sh> | <code bash pki-libvirt_server.sh> | ||
Строка 59: | Строка 95: | ||
</code> | </code> | ||
- | ===== libvirtd ===== | + | ==== libvirtd для TLS ==== |
- | [[https://wiki.libvirt.org/page/FAQ#Will_restarting_the_libvirt_daemon_stop_my_virtual_machines.3F|FAQ - Libvirt Wiki — 1.2.5 Will restarting the libvirt daemon stop my virtual machines?]] | + | {{anchor:tlslibvirtd}} |
- | Настройка | + | Здесь описан процесс настройки демона ''libvirtd'' для работы по TLS |
- | <code ini /etc/default/libvirtd> | + | - Нужно исправить файл запуска демона:<code ini /etc/default/libvirtd>libvirtd_opts="-l"</code> |
- | libvirtd_opts="-l" | + | - Внести изменения в файл настройки, минимальные изменения: <code ini /etc/libvirt/libvirtd.conf> |
- | </code> | + | listen_tls = 1 |
- | + | listen_tcp = 1 | |
- | <code ini /etc/libvirt/libvirtd.conf> | + | </code> или изменения включающие настройку сертификатов, ключей и списка отзыва сертификатов: <code ini /etc/libvirt/libvirtd.conf> |
listen_tls = 1 | listen_tls = 1 | ||
listen_tcp = 1 | listen_tcp = 1 | ||
Строка 76: | Строка 112: | ||
crl_file = "/etc/pki/CA/crl.pem" | crl_file = "/etc/pki/CA/crl.pem" | ||
</code> | </code> | ||
- | + | - Выполнить перезапуск демона: <code bash>service libvirtd restart</code> :!: При перезапуске демона ''libvirtd'' гостевые домены (виртуальные машины) **будут работать**! ([[https://wiki.libvirt.org/page/FAQ#Will_restarting_the_libvirt_daemon_stop_my_virtual_machines.3F|FAQ - Libvirt Wiki — 1.2.5 Will restarting the libvirt daemon stop my virtual machines?]]) | |
- | Минимальные изменения: | + | - Проверка: <code bash>netstat -lntp | grep libvirtd</code> Пример вывода: <code> |
- | <code ini /etc/libvirt/libvirtd.conf> | + | |
- | listen_tls = 1 | + | |
- | listen_tcp = 1 | + | |
- | </code> | + | |
- | + | ||
- | Перезапуск демона: | + | |
- | <code bash> | + | |
- | service libvirtd restart | + | |
- | </code> | + | |
- | + | ||
- | Проверка: | + | |
- | <code bash> | + | |
- | netstat -lntp | grep libvirtd | + | |
- | </code> | + | |
- | + | ||
- | Пример вывода: | + | |
- | <code> | + | |
tcp 0 0 0.0.0.0:16509 0.0.0.0:* LISTEN 5594/libvirtd | tcp 0 0 0.0.0.0:16509 0.0.0.0:* LISTEN 5594/libvirtd | ||
tcp 0 0 0.0.0.0:16514 0.0.0.0:* LISTEN 5594/libvirtd | tcp 0 0 0.0.0.0:16514 0.0.0.0:* LISTEN 5594/libvirtd | ||
Строка 100: | Строка 119: | ||
tcp6 0 0 :::16514 :::* LISTEN 5594/libvirtd | tcp6 0 0 :::16514 :::* LISTEN 5594/libvirtd | ||
</code> | </code> | ||
+ | |||
====== Ссылки ====== | ====== Ссылки ====== |