Sign in Subscribe
3 min read

OVirt Sunucusunda SSL Sertifika Yenileme Rehberi

OVirt ortamında çalışan sunucuların SSL sertifikalarının süresi dolduğunda, sistem yöneticileri genellikle ciddi kesintiler ve sorunlarla karşılaşabilir. Bu durum, sunucuların "Not Responding" (Yanıt Vermiyor) durumuna geçmesine ve sanal makinelerin (VM) yönetilememesine neden olabilir. Peki bu tür bir sorunla karşılaşıldığında ne yapılmalı? Sertifikaların süresi dolduğunda, bu durumu çözmek için manuel ve otomatik bazı adımlar izlenmelidir. OVirt-M portalını kullanarak sertifika yenilemek mümkün olsa da, bazen manuel müdahaleler gerekebilir.

1. Hata: SSL Sertifikası Süresi Doldu ve Sunucu Yanıt Vermiyor

SSL sertifikalarının süresi dolduğunda, OVirt-M ile sunucu arasındaki güvenli iletişim kopar. Bu durum, sunucunun yönetim portalında "Not Responding" (Yanıt Vermiyor) olarak görünmesine neden olur. Bu sorunu çözmek için sanal makineleri başka bir sunucuya taşıyamama durumu ortaya çıkar. Ayrıca, OVirt-M yöneticisi üzerinden bu sunucunun VM'leri yönetilemez hale gelir.

Bu hatanın temel nedeni, SSL sertifikalarının süresinin dolmuş olmasıdır. Sertifikalar yenilenmedikçe, OVirt-M ve sunucu arasındaki güvenli iletişim kurulamaz. Bu da sunucunun yanıt verememesine ve dolayısıyla VM'lerin kontrol edilememesine yol açar.

Çözüm Yöntemleri: Sertifika Yenileme ve Sunucu Yönetimi

Sertifika süresi dolmuş bir sunucu ile karşılaşıldığında, sorunu çözmek için birkaç farklı yöntem uygulanabilir. Bu yöntemlerin başında sertifika yenileme gelir. Sertifikalar yenilendiğinde, sunucu yeniden "UP" (Çalışıyor) durumuna döner ve VM'ler tekrar yönetilebilir hale gelir. İşte bu süreçte izlenmesi gereken çözüm adımları:

Adım 1: OVirt-M Üzerinden Sertifika Yenileme

  • Otomatik Çözüm: OVirt-M portalında bulunan "Enroll Certificate" (Sertifika Kaydet) özelliği kullanılarak sertifikalar otomatik olarak yenilenebilir. Bu özellik, OVirt 4.4 SP1 sürümü ile birlikte sunucular "NonResponsive" (Yanıt Vermiyor) durumdayken bile kullanılabilir. Bu yüzden, OVirt yöneticisi bu özelliği kullanarak sertifikaları yenileyebilir. Sertifika yenilendiğinde sunucu "UP" (Çalışıyor) durumuna dönecektir.
  • Yükseltme Durumu: OVirt-M 4.4 SP1 sürümüne yükseltilmemişse, sertifika yenileme işlemi manuel olarak yapılabilir. Ancak mümkünse OVirt-M yöneticisinin 4.4 SP1'e yükseltilmesi önerilir. Böylece, portal üzerinden sertifika yenileme işlemi otomatik hale getirilir ve manuel müdahaleye gerek kalmaz.

Adım 2: Manuel Sertifika Yenileme

  • Manuel Çözüm: Eğer OVirt-M portalı üzerinden sertifika yenileme mümkün değilse ve tüm sunucuların sertifikaları süresi dolmuşsa, manuel olarak sertifikaları yenilemek gerekecektir. Aşağıdaki adımları takip ederek manuel sertifika yenileme işlemi gerçekleştirilebilir:
    1. Anahtarın Yöneticiyi Kopyalanması: Sunucudaki anahtar, yöneticiyi kopyalanır.
scp /etc/pki/vdsm/keys/vdsmkey.pem root@<OVirt-M FQDN veya IP>:/tmp/vdsmkey.pem
  1. CSR Oluşturma: Sunucu anahtarı kullanılarak bir CSR dosyası (Sertifika İmzalama Talebi) oluşturulur.
openssl req -new -key /tmp/vdsmkey.pem -out /tmp/test_host_vdsm.csr -passin "pass:mypass" -passout "pass:mypass"
  1. Eski Sertifikanın Konusu: Sunucudaki eski sertifikanın konusu belirlenir.
openssl x509 -in /etc/pki/vdsm/certs/vdsmcert.pem -noout -subject
  1. Sertifikanın İmzalanması: CSR, OVirt-M yöneticisi tarafından engine CA kullanılarak imzalanır. OVirt-M’nin kullandığı IP adresine veya FQDN'ye göre bu adımda dikkat edilmelidir.
cd /etc/pki/ovirt-engine/
openssl ca -batch -policy policy_match -config openssl.conf -cert ca.pem -keyfile private/ca.pem -days +398 -in /tmp/test_host_vdsm.csr -out /tmp/test_host_vdsm.cer
  1. İmzalanan Sertifikanın Sunucuya Geri Kopyalanması: İmzalanan sertifika sunucuya geri kopyalanır.
scp root@<OVirt-M FQDN veya IP>:/tmp/test_host_vdsm.cer /etc/pki/vdsm/certs/vdsmcert.pem
  1. Sertifikanın Diğer Hizmetlere Kopyalanması: Sertifika libvirt ve diğer ilgili hizmetlerle paylaşılır.
cp /etc/pki/vdsm/certs/vdsmcert.pem /etc/pki/vdsm/libvirt-spice/server-cert.pem

Adım 3: Sunucu Servislerini Yeniden Başlatma

Manuel sertifika yenileme işlemi tamamlandıktan sonra, sunucudaki servisler yeniden başlatılmalıdır. Bunun için libvirt ve vdsmd servisleri yeniden başlatılır:

systemctl restart libvirtd vdsmd

Adım 4: VM'lerin Taşınması ve Sertifika Entegrasyonu

Sunucu tekrar "UP" durumuna döndüğünde, VM'ler canlı olarak başka bir sunucuya taşınabilir. Bu işlemin ardından OVirt-M portalı üzerinden sertifikalar kaydedilerek (Enroll Certificate) sunucunun yönetim altında tutulması sağlanır.

Sonuç

OVirt sunucularında SSL sertifikalarının süresi dolduğunda, sistem yöneticileri hem otomatik hem de manuel çözüm yollarını takip edebilirler. OVirt-M portalında bulunan "Enroll Certificate" özelliği genellikle en hızlı ve kolay çözüm olarak öne çıkar. Ancak bazı durumlarda manuel sertifika yenileme adımlarını izlemek gerekebilir. Sertifikaların düzgün bir şekilde yenilenmesi, sunucuların kesintisiz çalışmasını ve VM yönetiminin sağlıklı bir şekilde yapılmasını sağlar.

Published by:

Emin Buyuk

Member discussion