DO447Ansible Tower的维护和常规管理--配置TLS/SSL

最新推荐文章于 2024-04-15 16:06:43 发布
最新推荐文章于 2024-04-15 16:06:43 发布
阅读量474 收藏 2
点赞数 4
分类专栏: RHCA 回忆录 文章标签: 运维 linux RHCA-447 Ansible Ansible Tower
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41765918/article/details/124682313
版权

DO447Ansible Tower的维护和常规管理–配置TLS/SSL

🎹 个人简介:大家好,我是 金鱼哥,CSDN运维领域新星创作者,华为云·云享专家,阿里云社区·专家博主
📚个人资质:CCNA、HCNP、CSNA(网络分析师),软考初级、中级网络工程师、RHCSA、RHCE、RHCA、RHCI、ITIL😜
💬格言:努力不一定成功,但要想成功就必须努力🔥

🎈支持我:可点赞👍、可收藏⭐️、可留言📝

文章目录

📜14.2.1 Nginx web服务器在ansible Tower上

Ansible Tower web Ul是由运行在Tower服务器上的Nginx web服务器提供的。安装后,Ansible Tower会创建一个自签名的TLS证书和匹配的私钥文件,Nginx使用这个私钥文件进行HTTPS通信。

Nginx的主要配置文件在/etc/nginx目录下,其中最重要的是/etc/nginx/nginx.conf。Nginx web服务器托管Ansible Tower web Ul的访问日志位于/var/log/nginx/access。日志和错误日志在/var/log/ nginx/error目录下。这两个日志文件都是定期循环的,在/var/log目录中可以找到这些文件的旧版本的gzip压缩档案。

一般情况下,不需要修改/etc/nginx/nginx.conf配置文件。但是,当服务器的默认HTTPS配置需要调整时,更改可能会很有用。

📜14.2.2 默认的TLS配置

管理员可能需要知道如何找到Ansible Tower的TLS服务上的TLS配置,这有两个原因。第一个是定位TLS证书和私钥,以便它们可以替换为由访问Ansible Tower的浏览器所信任的证书颁发机构签署的版本。第二种情况是,如果需要对TLS配置进行定制,特别是在发现密码算法中的漏洞时去除密码。

Nginx web服务器的TLS配置在/etc/nginx/nginx.conf配置文件中定义。服务器块侦听端口443上的SSL连接,它包含相关的配置指令。特别是,这表明TLS证书是/ etc/tower/tower.cert和匹配的私钥是/etc/tower/tower.key:
在这里插入图片描述

📜14.2.3 替换TLS证书和密钥

大多数组织都希望将Ansible Tower自签名证书替换为由受组织web浏览器信任的TLS证书颁发机构(CA)签名的证书。这可能是公共CA,也可能是公司内部CA。

在每种情况下,您都需要为服务器获取由CA正确签名的TLS证书,以及匹配的私钥,都是PEM格式的。使用它们替换现有的自签名证书和密钥:

  • 将ca签名的TLS证书PEM格式保存到 /etc/tower/tower.cert。

  • 保存PEM格式的私钥到 /etc/tower/tower.key。

  • 这两个文件必须只有awx用户(Ansible Tower用户)可读可写,并且必须属于awx组

[root@tower tower]# ls -l /etc/tower/tower.*
-rw-------. 1 awx awx 1281 Mar 31 23:32 tower.cert
-rw-------. 1 awx awx 1704 Mar 31 23:32 tower.key

  • 使用ansible-tower-service restart命令重新启动Ansible Tower。

  • 从一个信任用于接收Ansible Tower服务器证书的CA的浏览器测试连接。查看浏览器提供的证书详细信息,以及浏览器是否认为连接是安全的。如何做到这一点的细节取决于你使用的浏览器。

**环境提示:**在实验环境中,您将使用classroom的FreelPA服务器作为CA。这允许您使用ipa-getcert请求TLS证书,该证书将在过期时由certmonger守护进程自动更新。

然而,Ansible Tower 3.3.1用SELinux类型etc_t标记/etc/tower中的所有文件。这两个tower.cert 和tower.key需要标记为cert_t,以便由FreelPA工具正确管理文件。幸运的是,Nginx可以正确读取标记为cert_t的TLS证书。

要持久地在这两个文件上设置SELinux类型,您需要确保semanage命令可用。执行semanage fcontext -a -t cert_t "/etc/tower/tower.(.*)"命令,设置系统策略中这些文件的默认上下文。最后,运行restorecon -FvvR /etc/tower/,根据当前的策略设置纠正该目录下的SELinux上下文。

📜14.2.4 课本练习(第520页)

[student@workstation ~]$ lab admin-cert start
📑1.在工作站上打开终端,以root身份使用ssh登录Ansible Tower服务器。

接下来的操作使用提供的适合于服务器主机名的证书替换Ansible Tower TLS/SSL证书。

[student@workstation ~]$ ssh root@tower
📑2. 向SELinux策略添加一个新规则,将/etc/tower/tower.cert 和 /etc/tower/tower.key上的类型设置为cert_t。

在这些文件上运行restorecon以确保在这些文件上设置了SELinux类型。在接下来的步骤中,当ipa-getcert请求时,certmonger需要将这些文件写入这些文件。

[root@tower ~]# semanage fcontext -a -t cert_t "/etc/tower(/.*)?"
[root@tower ~]# restorecon -FvvR /etc/tower/
📑3. 备份然后删除现有的/etc/tower/tower.cert 和 /etc/tower/tower.key。
[root@tower ~]# cp /etc/tower/tower.* /root
[root@tower ~]# rm /etc/tower/tower.*
rm: remove regular file ‘/etc/tower/tower.cert’? y
rm: remove regular file ‘/etc/tower/tower.key’? y
📑4. 使用ipa-getcert创建证书。
[root@tower ~]# ipa-getcert request -f /etc/tower/tower.cert -k /etc/tower/tower.key

如果不熟悉FreelPA,不要太担心为什么这个工作。这一步的重要部分是您有一个ca签名的TLS证书和Tower密钥。且已经被复制到您的Ansible Tower服务器上的正确位置

📑5. 重启并退出。
[root@tower ~]# ansible-tower-service restart
[root@tower ~]# exit
📑6. 浏览器重新打开。

(如果SSL证书是由受信任的CA签名的,就不会收到任何SSL证书警告的原因。)

要查看新的证书详细信息,请单击浏览器地址栏中的挂锁符号。新的TLS/SSL证书包含tower.lab.example.com主机名和LAB.EXAMPLE.COM组织。

📑7. 清空实验。
[student@workstation ~]$ lab admin-cert finish

💡总结

RHCA认证需要经历5门的学习与考试,还是需要花不少时间去学习与备考的,好好加油,可以噶🤪。

以上就是【金鱼哥】对 第十四章 Ansible Tower的维护和常规管理–配置TLS/SSL 的简述和讲解。希望能对看到此文章的小伙伴有所帮助。

💾红帽认证专栏系列:
RHCSA专栏:戏说 RHCSA 认证
RHCE专栏:戏说 RHCE 认证
此文章收录在RHCA专栏:RHCA 回忆录

如果这篇【文章】有帮助到你,希望可以给【金鱼哥】点个赞👍,创作不易,相比官方的陈述,我更喜欢用【通俗易懂】的文笔去讲解每一个知识点。

如果有对【运维技术】感兴趣,也欢迎关注❤️❤️❤️ 【金鱼哥】❤️❤️❤️,我将会给你带来巨大的【收获与惊喜】💕💕!

IT民工金鱼哥
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Ansible+SSH安装配置和简单使用
weixin_45642360的博客
05-26 1202
Ansible 是一个简单,强大且无代理的自动化语言。
DO447安装红帽Ansible Tower
IT民工金鱼哥,专注运维技术。
04-20 495
第六章 安装红帽Ansible Tower
ansible-tower连接git实现简单执行playbook
qq_48736646的博客
04-15 472
2 credentials中的配置,新增一个credentials,其中credential中的用户名填的是ansible-tower这台机器的用户名和密码(不一定是root用户)3.新增projects,填写对应的git地址,也要带上git的用户名和密码。注意点:密码不要带特殊字符,数字+字母就可以了。5 当修改git的后,需要再重新刷新一下.sources中会重新读取hosts中文件的内容。前提:安装好ansible-tower和git,其中git存放ansible得剧本。4 template修改。
Ansible Tower系列 二(安装 Tower)【转】
weixin_34261415的博客
04-10 213
文档:http://docs.ansible.com/ansible-tower/ 安装前检查 python版本为2.6 保持网络畅通 内存预留充足 安装用户为root 软件下载 下载地址:http://releases.ansible.com/ansible-tower/setup/含有包文件的版本:http://releases.ansible.com/ansible...
freeipa证书相关的一些命令
HRay's blog
04-12 1704
ipa-getcert list #查看全部证书 ipa-cacert-manage renew #更新证书 ipa-getcert resubmit -i cert_nickname #cert_nickname自行替换,可由ipa-getcert list 命令获取到,结合自带的certmonger服务可以更新证书过期时间 最后吐槽下freeipa的证书是个大坑,默认CA是...
ansible UI管理工具awx安装实践
qq_41417660的博客
09-21 9072
1.安装EPEL源 [root@client ~]# yum -y install epel-release 2.安装asnible [root@client ~]# yum -y install ansible 默认为最新版 [root@client ~]# ansible --version ansible 2.9.13 config file = /etc/ansible/ansible.cfg configured module search path = ['/root/.ansib
ansible-tower 3.8.6 authorization
05-24
(以前叫’AWX’)是能够帮助任何IT团队更容易使用Ansible的解决方案。该方案基于web。 Tower允许对用户进行权限控制,即使某用户不能传送某SSH凭证,你也可以通过Tower来对该用户共享该凭证。我们可以通过图形化界面...
Ansible Tower 升级和迁移指南-16页
05-18
Ansible Tower 升级和迁移指南 Ansible Tower 是一款商业产品,它可以帮助团队通过增加控制、知识、协调基于 Ansible 的环境来更好地管理多阶的复杂部署环境。 Ansible Tower 提供了升级和迁移指南,以便用户可以...
Ansible-Tower自动化运维管理
07-21
Ansible-Tower自动化运维管理
Ansible-Tower-3.0-中文安装配置及使用指南
03-14
Ansible-Tower-3.0-中文安装配置及使用指南,很好的ansible tower文档
Ansible Tower 管理指南 v3.8.1-182页
05-18
Ansible Tower 管理指南 v3.8.1-182页
ansible使用之——网络设备自动巡检
JosenChina的博客
10-24 3887
ansible网络设备自动巡检前言环境搭建过程演练结果验证 前言 一般中大型公司需要对网络设备进行定期巡检,当设备量比较大且巡检指标较多的时候,该项工作往往费时费力,同时如果完全采用人工巡检的话,还容易出现人为因素上的失误。 通过ansible工具对网络设备进行自动化巡检,可以提高工作效率并且降低人为因素的失误。 本博客以ansible自动巡检华为ensp模拟设备,通过检查设备“是否开启snmp配置”为例,讲解网络设备高效巡检过程,相关输入参数如下: ansible版本: 2.8.1 设备厂商: 华为路由器
Ansible-tower使用方法(一):使用本地playbook
icanflying的博客
02-18 3547
通过上一篇博文我们可以在主机上安装ansible-tower,在互联网有关playbook详细使用的文章太少,所以再次整理一下供参考,后续有时间会陆续补充 一、首先我们要添加主机用于执行任务 1、定义一个Organizations组织,类似部门下拥有某些项目,有很多主机组 2、添加清单,类似主机分组 3、添加完主机组就可以来添加主机 (1)、通过界面以yaml语言的方式进行添加 ansible_ssh_port: 22 ansible_ssh_user: root ..
ansible-tower安装
范文鹏的博客
08-13 7361
环境 Centos7 关闭防火墙,selinux   安装epel root@localhost:~$ yum install http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm 安装ansible root@localhost:~$ yum install ansible   下载全量安装包...
【Linux】 网络服务的启动、关闭和重启
热门推荐
简简单单兔呦
02-07 2万+
根据主机系统的不同,具体的使用命令存在不同1. CentOS / RHEL / Red Hat / Fedora# service network stop # service network start # service network restart2. Ubuntu/Debian# service networking stop # service networking start # s
ansible第三天
qq_55936261的博客
01-09 165
ansible
Ansible配置思科网络设备
weixin_33767813的博客
11-04 2600
ansibleAnsible is Simple IT Automation”——简单的自动化IT工具。这个工具的目标有这么几项:让我们自动化部署APP;自动化管理配置项;自动化的持续交付。Ansible一般通过ssh协议实现linux服务器的管理,但从2.1版本开始,ansible core modules加入了对cisco ios设备的支持,对应的模块为io...
更换ssl证书
zhaixing
09-08 9581
最近网站的证书快到期了,需要更换新的证书,保证网站的正常使用 1.准备好新的证书 将准备好的证书放到nginx存放证书的位置 2.将新的证书修改成原本证书名字 注意原本的证书需要备份,防止意外 或者也可以就用新证书的名字,在nginx配置文件中修改证书名字 3.重新加载nginx [root@localhost ~]# /usr/local/nginx/sbin/nginx -t nginx: ...
利用ansible -i /etc/auto-deploy/ansible_hosts all -m shell -a怎么批量备份/etc/ssh/sshd_config
最新发布
04-24
使用Ansible进行批量备份/etc/ssh/sshd_config的步骤如下: 1. 确保已经安装了Ansible,并且已经配置好了主机清单文件(ansible_hosts)。 2. 在终端中执行以下命令: ``` ansible -i /etc/auto-deploy/ansible_hosts all -m shell -a "cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak" ``` 这个命令会在所有主机上执行shell模块,将/etc/ssh/sshd_config文件备份为/etc/ssh/sshd_config.bak。 注意:在执行该命令之前,请确保你对Ansible和主机清单文件的配置都是正确的,并且你有足够的权限来执行备份操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT民工金鱼哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值