libvirt TLS

最新推荐文章于 2024-11-09 12:43:52 发布
最新推荐文章于 2024-11-09 12:43:52 发布
阅读量242 收藏
点赞数
文章标签: java

博客原文

http://hi.baidu.com/wwfmarcpjkbdiod/item/7b43c89e949d7fbbcd80e590

 

构建Libvirt的x509证书远程tls连接
http://libvirt.org/remote.html


连接格式:

1. 通用格式:
driver[+transport]://[username@][hostname][:port]/[path][?extraparameters]

2. 如使用qemu和tls的:(在配置完毕后)
virsh -c qemu+tls://10.61.1.85/system


证书类型及位置:

见http://libvirt.org/remote.html
1. CA证书:server和client
2. server的私有Key,及公有Key(由CA颁发的):server上
3. client的私有Key,及公有Key(由CA颁发的):client上


TLS认证原理:

1. client认证server。client将server发送的证书与server的hostname进行匹配
2. server认证client的可控性。server对client的IP,或者client的IP和证书来进行认证
3. 默认的server的libvirt的配置是不对DN进行检查,也就是说允许所有的拥有CA颁发的证书的client登入


搭建CA、server端证书、client端证书:

1. 过程见那个网页
2. 没有的/etc/pki/libvirt目录可以创建


配置、运行和调试:

1. server上配置:
如果想显式控制访问者,则可以修改/etc/libvirt/libvirtd.conf
a. Uncomment : tls_allowed_dn_list,改成类似这样的”
tls_allowed_dn_list = ["C=CN,O=red_hat,L=Beijing,ST=Beijing,CN=10.61.1.87"]

b. 注意几点:
i. 各个项的顺序要一致,比如使用这样则不能认证:
tls_allowed_dn_list = ["C=CN,ST=Beijing,L=Beijing,O=red_hat,CN=10.61.1.87"]
ii. 中间逗号后面不能有空格
iii. 如果犯了i,ii的错误,则可能会有这样的错误:
Connecting to uri: qemu+tls://10.61.1.85/system
error: unable to connect to libvirtd at '10.61.1.85': Invalid argument
error: failed to connect to the hypervisor

2. client及server端的运行:
a. server端libvirtd启动必须要以--listen选项启动
b. client端执行:virsh -c qemu+tls://10.61.1.85/system

3. 认证失败的调试
a. 使用/usr/sbin/libvirtd --listen --verbose 来启动libvirtd,可以出现部分错误信息,如tls_allowed_dn_list各项的顺序不对时,会出现:
15:44:48.527: error : remoteCheckCertificate:1138 : remoteCheckCertificate: client's Distinguished Name is not on the list of allowed clients (tls_allowed_dn_list).  Use 'openssl x509 -in clientcert.pem -text' to view the Distinguished Name field in the client certificate, or run this daemon with --verbose option.
15:44:48.527: error : remoteCheckAccess:1157 : remoteCheckCertificate: failed to verify client's certificate

b. 接上一条,如果出现了那个信息,可以使用openssl x509 -in clientcert.pem -text来对client的公钥进行信息输出,并注意这个字段:
Subject: C=CN, O=red_hat, L=Beijing, ST=Beijing, CN=10.61.1.87
其实这一行的主体内容去掉空格,就是tls_allowed_dn_list中应该填的DN内容

weixin_34407348
关注
libvirt tls 热迁移数据支持国密(SM)加密
木简熙的博客
10-23 3396
一、前言 国密即国家密码局认定的国产密码算法,它是我国自主研发创新的一套数据加密处理系列算法。从SM1-SM4分别实现了对称、非对称、摘要等算法功能。在openssl1.3版本后支持自主研发国密算法。 BabaSSL是一个现代的密码学和通信安全协议的基础库,诞生于阿里巴巴集团和蚂蚁集团内部。它支持TLS1.3+国密(RFC8998)、SM2单证书、SM2双证书libvirt tls 热迁移默认支持x509 certificate 证书进行数据加密通...
libvirt-qemu-TLS加密
虚拟化云计算技术
03-02 2939
(文章来自作者维护的社区微信公众号【虚拟化云计算】) (目前有两个微信群《kvm虚拟化》和《openstack》,扫描二维码点击“云-交流”,进群交流提问) TLS(Transport Layer Security Protocol),即安全传输层协议,其核心是加密两台计算机之间的通信。 libvirt使用TLS,可以实现libvirt的安全加密。例如,虚拟机在不同的主机之...
Windows下Libvirt Java API使用教程(三)- TLS认证访问和动态链接文件依赖
weixin_34007291的博客
05-24 137
之前已经介绍过了libvirt api的上手使用方式: 《Windows下Libvirt Java API使用教程(二)- 接口使用说明》 《Windows下Libvirt Java API使用教程(一)- 开发环境部署》 这里再补充一些细节问题。 TLS安全认证访问: 之前我们给出的例子都是直接用tcp访问的,这就需要被访问的服务器开放tcp访问的端口,也就是说,...
libvirt-qemu-TLS加密虚拟机传输实例分析
weixin_38167847的博客
07-25 415
说明 TLS(Transport Layer Security Protocol),即安全传输层协议,其核心是加密两台计算机之间的通信。libvirt使用TLS,可以实现libvirt的安全加密。可以保证数据传输的安全性、完整性。OpenStack环境中,Libvirt默认采用TCP方式,会监听16509端口。这种方式是不安全的,因此建议采用TLS安全连接的方式。配置TLS最重要的步...
libvirt tcp连接配置
qq_41122834的博客
01-09 1102
1修改/etc/libvirt/libvirtd.conf ###/etc/libvirt/libvirtd.conf listen_tls = 0          #禁用tls登录 listen_tcp = 1          #启用tcp方式登录 tcp_port = "16509"       #tcp端口16509 listen_addr = "0.0.0.0" unix_sock_...
libvirt application开发指南C语言
09-27
文档详细说明了libvirt的架构、对象模型、驱动模型、远程管理、TLS证书生成、连接管理、URI格式、能力信息、主机信息、事件循环集成、安全模型、错误处理等多个方面。 libvirt的核心架构包含多个模块和层次。首先,...
libvirt application开发指南 python
09-27
在安全性方面,文档介绍了如何生成TLS证书,这是远程通信中常见的安全实践。内容包含了公钥基础设施(Public Key Infrastructure,PKI)的设置。 文档还详细描述了连接管理,包括如何打开连接、以只读方式打开、...
亲测100%可成功的openstack实例热迁移+冷迁移 openstack-Mitak(双节点)+centos7.2-1511
大白菜的博客
05-15 2276
Description:最近实验好多次热迁移都是败了,网上的博客大多数都无法成功的进行热迁移,最后还是在老外的一片关于opensatck live migration说明上找到的原因:[libvirtd] 没有配置 block_migration_flag=VIR_MIGRATE_UNDEFINE_SOURCE,VIR_MIGRATE_PEER2PEER,VIR_MIGRATE_LIVE,V...
libvirt(virsh命令总结).docx
01-03
libvirt(virsh 命令总结) ...* qemu://example.com/system (remote access, TLS/x509) * qemu+tcp://example.com/system (remote access, TCP) 这些命令和选项可以帮助用户更好地管理和控制虚拟机。
python 通过libvirt远程管理虚机
hanweixiao的博客
03-27 258
python 通过libvirt远程管理虚机
libvirtd 服务异常错误总结汇整
热门推荐
yang39921的专栏
11-28 1万+
最近在学习kvm虚拟机,宿主机操作系统为Centos 7.1具体版本号不记得了。 安装virt工具后,使用virt-mananger工具安装系统有错误:revc connection reset by peer。看/var/log/message信息出现libvirtd.service错误,systemctl status libvirtd查看状态为运行。 以下为网络上查找的相关资料: 今天在把...
libvirt 报错
Jason_Linux
01-16 819
执行virsh命令出现 下面的错误  error: failed to connect to the hypervisor error: no valid connection error: Failed to connect socket to '/var/run/libvirt/libvirt-sock': No such file or directory 查看系统中p
libvirt的security
weixin_30378311的博客
08-28 130
1. libvirt支持SASL authentication and encryption MD5 hashes are considered unsafe and should not be used. 2. 使用python connect with libvirt via sasl 3. tls加密,sasl 认证 4. libvirt官网的auth 5. redhat的li...
kvm安装配置,创建虚拟机,centos环境
昭瑞的专栏
10-18 791
一、kvm介绍 KVM是开源软件,全称是kernel-based virtual machine(基于内核的虚拟机),是一个开源的系统虚拟化模块,基于硬件的完全虚拟化,不过需要硬件支持(如Intel VT技术或者AMD V技术)。自Linux 2.6.20之后集成在Linux的各个主要发行版本中。它使用Linux自身的调度器进行管理,所以相对于Xen,其核心源码很少。KVM目前已成为学术界的主流
玩转KVM:TLS安全登录
weixin_33781606的博客
04-28 352
下面来讲讲KVM的安全知识,TLS?有什么用? libvirt怎么远程? 说TLS安全连接之前,我们需要先聊一下怎么可以远程管理KVM。 目前vmware, xen, kvm, lxc等都支持libvirtlibvirt的强大,然后根本不需要考虑怎么远程的问题。我们只需要考虑怎么更好地远程管理它。 TLS配置实践 简单的逻辑图: 管理证书服务器 创建临时目录,以将文件和更改保存到其中:mkdi...
JAVA-01-变量
LJH_laura_li的博客
11-08 264
在方法、构造函数或块内部定义的变量。
2024年华为OD机试真题-查找充电设备-C++-OD统一考试(E卷)
面试高手的博客
11-08 134
某个充电站,可提供n个充电设备只,每个充电设备均有对应的输出功率任意个充电设备组合的输出功率总和,均构成功率集合P的1个元素功率集合P的最优元素,表示最接近充电站最大输出功率pmax 的元素。每一题都含有详细的解题思路和代码注释,精编c++、JAVA、Python三种语言解法。当充电设备输出功率50、20、20组合时,其输出功率总和为90,最接近充电站最大充电输出功率,因此最优元素为90。所有充电设备的输出功率组合,均大于充电站最大充电输出功率30,此时最优元素值为0。第 2 行为每个充电设备的输出功率。
Java基于小程序公考学习平台的设计与实现(附源码,文档)
最新发布
chusheng1840的博客
11-09 488
Java基于小程序公考学习平台的设计与实现,小程序公考学习平台使用Java语言进行编码,使用Mysql创建数据表保存本系统产生的数据。系统可以提供信息显示和相应服务,其管理小程序公考学习平台信息,查看小程序公考学习平台信息,管理小程序公考学习平台。总之,小程序公考学习平台集中管理信息,有着保密性强,效率高,存储空间大,成本低等诸多优点。它可以降低信息管理成本,实现信息管理计算机化。关键词:小程序公考学习平台;Java语言;Mysql。
java_方法重写/覆盖(override)
HHppGo的博客
11-07 317
方法覆盖(重写)就是子类有一个方法,和父类的某个方法的名称、返回类型、参数一样,那么我们就说子类的这个方法覆盖了父类的方法。
libvirt virsh 命令全面指南
libvirt0.8.7 VirshCommandReference - 官方的 libvirt virsh 命令指南” 本文档是针对libvirt 0.8.7版本的Virsh命令参考,由Justin Clift、Eric Blake、Nikunj A. Dadhania和Zdenek Styblik等开源社区成员编写,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值