Red Hat subscription-manager是一种从命令行注册,附加和删除订阅的工具。如果我理解正确,则此工具将连接到客户门户以检索证书。这些证书除其他外,还用于从Red Hat存储库下载yum软件包。
来源:
我不明白有几件事:
yum必须使用这些证书。但是yum CLI工具一定已经打补丁了,对吧?这些更改的源代码可用吗?subscription-manager工具的源代码是否可用?那会澄清很多事情。答案 0 :(得分:1)
Subscription Manager执行一些关键操作:
* It registers systems to the Red Hat subscription management service and adds the sys‐ tem to the inventory. Once a system is registered, it can receive updates based on its subscriptions to any kind of software products. * It lists both available and used subscriptions. * It allows administrators to both attach specific subscriptions to a system and remove those subscriptions.
回答上述问题
1。。为什么一个系统的证书不能在其他系统上使用:
订阅管理服务为颁发新的身份证书 系统,使用原始身份证书中的现有UUID。如果使用 仅此一项,identity命令还使用原始身份证书绑定到 订阅管理服务,使用基于证书的身份验证。
2。。您如何验证这些证书
yum从存储库元数据中读取:Yum将基于证书的存储库更新为 https://cdn.redhat.com/依次提供repomd.xml,例如: https://cdn.redhat.com/content/dist/rhel/server/6/6Server/x86_64/cf-tools/1.0/os/repodata/repomd.xml,其中包含存储库元数据。
3。。关于来源,我不确定我们是否有权访问它们。
答案 1 :(得分:1)
1。。假设您复制了证书,但是仍然需要注册从中复制证书的服务器。每次注册服务器时,都会为计算机创建一个单独的密钥。您不能通过复制证书在订阅管理器中注册服务器,因为单个计算机不能有相同的密钥。注册后,您可以访问/etc/pki/entitlement目录中生成的密钥。
您可以在rct或openssl的帮助下检查有关这些证书的信息。来自https://access.redhat.com/solutions/189533
为了更好地理解它们之间的区别,您可以向同一用户注册两台不同的计算机并比较证书。
2。。有关yum命令的工作,
通过打开/etc/yum.repos.d/中的任何文件,可以查看此命令使用的证书目录。当您查看这些文件之一时,您将看到类似于以下内容的一行。
sslclientkey=/etc/pki/entitlement/1234567890123456789-key.pem
该文件显示了您计算机的私钥
3。。您可以在以下位置找到有关其内容的信息:
https://github.com/candlepin/subscription-manager/tree/master/src/subscription_manager/scripts
编辑:
在系统中注册时不仅使用证书。另外还有ntp服务器(防止重放攻击),kerberos kdc(包括时间戳等),用户身份验证等。如果使用openssl或其他选项检查证书信息,则可以获得这些信息。
您只是在将必要的文件从已订阅的计算机复制到新计算机时就期望新的计算机已订阅,对吗?只是不会因为IdM使用的KDC而已。
您应该检查此RedHat IdM Guide以便更好地理解。