Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Раздел полезных советов: Обновление сертификатов oVirt, auto_tips (?), 28-Фев-23, (0) [смотреть все] libvirtd 2101 The server certificate etc pki vdsm certs vdsmcert pem has ex, пох. (?), 21:17 , 28-Фев-23, (1)   // CA находится на oVirt Engine Если oVirt развёрнут по схеме HostedEngine, то ВМ , casm (ok), 05:34 , 01-Мрт-23, (2)   // а она штатно не запущена что-ли Т е это не сама engine а какая-то отдельная то, пох. (?), 16:12 , 05-Мрт-23, (8)   // CA сделан на базе openssl, находится на виртуалке с engine работает постоянно, о, casm (ok), 17:03 , 05-Мрт-23, (9)   а, ясно, то есть при штатной работе не требуется, только если сам зачем-то и сло, пох. (?), 17:22 , 05-Мрт-23, (10)   Доступ к документации Red Hat открывается за час 1 регистрируемся в Red Hat Dev, Noname (??), 14:14 , 01-Мрт-23, (3) Там еще такой сертификат есть etc pki vdsm libvirt-vnc server-cert pem и он тож, RHEL Fan (?), 21:33 , 03-Мрт-23, (4) Про VDSM забыли, pofigist (?), 12:48 , 04-Мрт-23, (5) несколько вопросов автору 0 можно ли обойтись без сертификатов вообще наприме, ivan_erohin (?), 08:51 , 05-Мрт-23, (6) // 0 сложно сказать - я сисадмин, а не разработчик oVirt Исходный код доступен ht, casm (ok), 10:37 , 05-Мрт-23, (7) // а перезагружать сервис ради обновления сертификатов идея не сомнительная есть un, 54r (?), 06:38 , 06-Мрт-23, (11) –1 // 1 Сертификаты Let s Encrypt можно использовать только для web-консоли, для хост, casm (ok), 08:58 , 06-Мрт-23, (12) Честно говоря не вижу большой разницы, на мой вгляд это тоже самое, что менять п, 5к (?), 02:35 , 07-Мрт-23, (15) а зачем его менять раз в год Вот и с сертификатом такая же херня Чем реже ты ус, пох. (?), 11:01 , 07-Мрт-23, (16) Это факт, 3 5 калечные насройки, а самое прикольное что оно кэширует результат и, 5к (?), 01:05 , 10-Мрт-23, (17) +1 daemon-reload должен это сбрасывать гуглить ceph war story в окрестностях редд, пох. (?), 17:02 , 11-Мрт-23, (18) Да, это работает, вот только пока разобрались, У ceph, разве что в заголвке сай, qq (??), 01:20 , 20-Мрт-23, (19) нет если софтверный архитектор этого продукта был чудак или недотыкомка,то некот, ivan_erohin (?), 15:57 , 06-Мрт-23, (13) Не согласен Любой удачный инструмент со временем может начать использоваться не, 5к (?), 01:14 , 07-Мрт-23, (14) во чего нашел зацените https admx help Category Windows_11_2022 Policy Micro, ivan_erohin (?), 07:45 , 31-Мрт-23, (20) +1 да, пока оно еще не ушло совсем в историю - на днях выяснял, что в аналогичном с, пох. (?), 13:57 , 08-Авг-23, (21) Добрый день Спасибо большое за инструкцию А подскажи, пожалуйста, каким путем л, Alexey (??), 13:26 , 02-Мрт-24, (22) 1,3,4,5,6,21,22

Сообщения

[Сортировка по времени | RSS]

1. "Обновление сертификатов oVirt"	+/–
Сообщение от пох. (?), 28-Фев-23, 21:17
libvirtd[2101]: The server certificate /etc/pki/vdsm/certs/vdsmcert.pem has expired а что такого волшебного в этом сертификате, что его нельзя сгенерировать вручную, зная имя файла и имея возможность посмотреть параметры, и зачем-то нужно вытанцовывать с разваливанием всего кластера и переводом стре...времени? Ключ и csr наверняка валяются там же рядышком без пароля, как у модных девляпсов же везде и принято. P.S. за дополнительные $500 я расскажу вам как генерируют сертификаты с altname. За 600 - если выяснится что в редгаде как обычно на десять лет устаревшая версия openssl требует вытанцовывания с шелл-командлетами вместо параметров. Соглашайтесь, удовольствие почитания редхатовского хелпцентра дороже на круг обойдется.
Ответить | Правка | Наверх | Cообщить модератору

	2. "Обновление сертификатов oVirt"	+/–
	Сообщение от casm (ok), 01-Мрт-23, 05:34
	CA находится на oVirt Engine. Если oVirt развёрнут по схеме HostedEngine, то ВМ с CA не запустится пока vdsmcert.pem has expired. Замкнутый круг - чтобы починить сертификат нужен СА, а СА не запустится пока сертификат не починен. Самоподписной сертификат хоть с altname, хоть без - кластер не примет. Можно развернуть Engine на физическом сервере, но тогда для него не будет High Availability.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Обновление сертификатов oVirt"	+/–
	Сообщение от пох. (?), 05-Мрт-23, 16:12
	а она штатно не запущена что-ли? Т.е. это не сама engine а какая-то отдельная только-ca виртуалка запускающаяся раз в пятилетку ради подписи? Паааанятна... (наверное он тоже где-то на образе диска лежит в виде обычного ca cert, но тут верю, проще время поменять чем колупаться) Если что - altname в современных openssl можно прямо в командной строке указать (подсмотрев в устаревшем серте образец). В устаревших только через extension config, который бай дизайн не однострочный.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Обновление сертификатов oVirt"	+/–
	Сообщение от casm (ok), 05-Мрт-23, 17:03
	CA сделан на базе openssl, находится на виртуалке с engine работает постоянно, отдельной виртуалки для CA нет. Но если выключить engine при истекшем сертификате (сбой питания или "у нас консоль не работает, а давайте всё перезагрузим, может заработает"), то обратно она уже не включится.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Обновление сертификатов oVirt"	+/–
	Сообщение от пох. (?), 05-Мрт-23, 17:22
	> Но если выключить engine при истекшем сертификате (сбой питания или "у нас а, ясно, то есть при штатной работе не требуется, только если сам зачем-то и сломал.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема