全局CA：

? CA證書：

? ? ? engine主機上：/etc/pki/ovirt-engine/ca.pem?

? ? ? node主機上： /etc/pki/vdsm/certs/cacert.pem

? ? ? ? ? ? ? ? ? ? ? ? /etc/pki/vdsm/libvirt-spice/ca-cert.pem

? ? ? ? ? ? ? ? ? ? ? ? /etc/pki/CA/cacert.pem

? CA私鑰：

? ? ? engine主機上： /etc/pki/ovirt-engine/private/ca.pem

engine：

? engine證書：

? ? engine主機上： /etc/pki/ovirt-engine/certs/engine.cer? --x509格式

? ? ? ? ? ? ? ? ? ? ? ? /etc/pki/ovirt-engine/keys/engine.p12? --pkcs格式抱虐，密碼mypass

? engine私鑰：

? ? engine主機上： /etc/pki/ovirt-engine/keys/engine_id_rsa

node：

? node證書：

? ? ? node主機上： /etc/pki/vdsm/certs/vdsmcert.pem

? ? ? ? ? ? ? ? ? ? ? ? /etc/pki/vdsm/libvirt-spice/server-cert.pem

? ? ? ? ? ? ? ? ? ? ? ? /etc/pki/libvirt/clientcert.pem

? node私鑰：

? ? ? node主機上：/etc/pki/vdsm/certs/vdsmkey.pem

? ? ? ? ? ? ? ? ? ? ? /etc/pki/vdsm/libvirt-spice/server-key.pem

? ? ? ? ? ? ? ? ? ? ? /etc/pki/libvirt/private/clientkey.pem

ovirt engine與node交互時使用雙向認證，因此engine證書過期和node節(jié)點上的vdsm證書過期都會導致無法連接

openssl手動測試https連接：

openssl? s_client -connect {{ node_ip }}:54321 -cert /etc/pki/ovirt-engine/certs/engine.cer -key /etc/pki/ovirt-engine/keys/engine_id_rsa -CAfile /etc/pki/ovirt-engine/ca.pem

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

證書生成命令：

engine證書：

mkdir? /etc/pki/ovrit-engine/test

cd /etc/pki/ovrit-engine/test

#使用原來的私鑰生成證書請求文件：? O=Handpay CN=pay-ovirt-engine(200.95上原證書配置视粮，應根據(jù)環(huán)境不同做對應修改)

openssl req -new -key ../keys/engine_id_rsa? -out newengine.csr

#用ca簽發(fā)csr

cd /etc/pki/ovirt-engine

openssl ca -in test/newengine.csr? -out newengine.cer -cert ca.pem -keyfile private/ca.pem -config openssl.conf -days 9999

#newengine.cer就是新的證書

#用newengine.cer 替換 /etc/pki/ovirt-engine/certs/engine.cer

cp newengine.cer? /etc/pki/ovirt-engine/certs/engine.cer

#生成p12證書，密碼mypass

cd /etc/pki/ovirt-engine/keys/

openssl pkcs12 -export -out engine.p12 -in ../certs/engine.cer -inkey engine_id_rsa

#重啟engine

service ovirt-engine restart

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

node證書：

#以192.168.23.51為例

#將 node上的私鑰復制到engine主機上：

mkdir /tmp/test

cd /tmp/test

scp 10.88.202.51:/etc/pki/vdsm/certs/vdsmkey.pem? .

#用原來的私鑰生成csr蕾哟，O=Handpay CN=192.168.23.51

openssl req -new -key /tmp/test/vdsmkey.pem? -out 192.168.23.51.csr

#用ca簽發(fā)csr

openssl ca -in 192.168.23.51.csr? -out 192.168.23.51.cer -cert /etc/pki/ovirt-engine/ca.pem? -keyfile? /etc/pki/ovirt-engine/private/ca.pem -config openssl.conf -days 9999

#生成的 192.168.23.51.cer就是node的證書

#把這個證書覆蓋node上的三個位置：

scp 192.168.23.51.cer? 192.168.23.51:/etc/pki/vdsm/certs/vdsmcert.pem

scp 192.168.23.51.cer? 192.168.23.51:/etc/pki/vdsm/libvirt-spice/server-cert.pem

scp 192.168.23.51.cer? 192.168.23.51:/etc/pki/libvirt/clientcert.pem

#重啟51上的vdsmd

ssh 192.168.23.51

systemctl restart vdsmd.service