Oracle VM Manager(OVMM)は、インストール時に SSL 証明書を自動生成します。
デフォルトの証明書のままだと、Web ブラウザで証明書エラーになり、
アクセスするたびに確認用のリンクをクリックする手間があります。
対策として、証明書を他の認証局(CA)から発行されたものと交換することも可能です。
しかし自宅ラボで内部利用する OVMM ではそこまでする必要がないので、
今回は OVMM 内部の CA 証明書を利用して証明書エラーの対処をします。
OVMM の CA 証明書エクスポート。
OVMM をインストールした OS にログインして、CA 証明書をエクスポートします。
Oracle VMリリース3.4の管理者ガイド
2.2.4 CA証明書のエクスポート
https://docs.oracle.com/cd/E90714_01/e88293/vmadm-manager-ssl-export-cacert.html
OVMM に SSH でログインして作業します。
OVMM のバージョンは 3.4.4 です。
[root@ovmm344 ~]# grep BUILDID /u01/app/oracle/ovm-manager-3/.config
BUILDID=3.4.4.1709
CA 証明書をエクスポートします。
ovmkeytool.sh exportca で証明書が表示されるので、
これをコピーしておき、OVMM の Web UI を利用するクライアントに保存します。
[root@ovmm344 ~]# /u01/app/oracle/ovm-manager-3/ovm_upgrade/bin/ovmkeytool.sh exportca
12 24, 2017 10:45:36 午前 oracle.security.jps.JpsStartup start
情報: JPSの初期化中です。
12 24, 2017 10:45:38 午前 oracle.security.jps.JpsStartup start
情報: Jpsが開始されました。
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
[root@ovmm344 ~]#
CA 証明書のインポート。
今回は Windows 10 の PC に証明書をインストールします。
エクスポートした 証明書は、下記のようにテキスト ファイルとして保存してあります。
PS C:\Users\gowatana\work> cat .\ovmm344_ca_cert.txt
-----BEGIN CERTIFICATE-----
MIID3TCCAsWgAwIBAgIUW3atOEGEi34fZLwyZii2SJpW/B4wDQYJKoZIhvcNAQEL
BQAwgZUxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRUwEwYDVQQH
EwxSZWR3b29kIENpdHkxGzAZBgNVBAoTEk9yYWNsZSBDb3Jwb3JhdGlvbjEaMBgG
A1UECxMRT3JhY2xlIFZNIE1hbmFnZXIxITAfBgNVBAMTGE9WTSBDQSBvdm1tMzQ0
LmdvLWxhYi5qcDAeFw0xNzExMjQwNDE1MjhaFw0yNzExMjUwNDE1MjhaMIGVMQsw
CQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEVMBMGA1UEBxMMUmVkd29v
ZCBDaXR5MRswGQYDVQQKExJPcmFjbGUgQ29ycG9yYXRpb24xGjAYBgNVBAsTEU9y
YWNsZSBWTSBNYW5hZ2VyMSEwHwYDVQQDExhPVk0gQ0Egb3ZtbTM0NC5nby1sYWIu
anAwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCWAAP4yv//wUMZNNM4
qZ3pSkGt79VYjFWcP3mBint7QomgyVrOroy71jWlfJa2Y/MmPi2289NAr1M288Qw
KpslsdO8x1C/YDYUGTEjmfkWe0goXcsL/5CGjh/dH9XGIVimKjUvwDp2uAY+G1Iy
C2c4QSESCxlLZ76+0cTK2ug0gJ7lMud53kx4jki66k5jSZCWW3NhpKoCzoou5erl
qtltcUUnq36qV191H3Y6IU3RJCA6xkpV/gbi9Hf7sS6IQ3RNgwgWlc4+IRB+4c9w
lTTrQXlo4ICrs7PRuzw0kY+AnWKxQ9D0n0K8WITT8IBwnkPgW03dmLNY0oAXciTA
do7tAgMBAAGjIzAhMA8GA1UdEwEB/wQFMAMBAf8wDgYDVR0PAQH/BAQDAgAFMA0G
CSqGSIb3DQEBCwUAA4IBAQBDsUcL4tgicCazsmadASaAmVS45UVNVuiR6/uj5Tcn
fbO1tvZRddZ9Y3YKYyUtqbFsE/3fOXujSaEOAGNhHCgeF/XoRMHKba172X9ZhL/7
XFQvzY4IanqBC0Q/DjHtM5BagwK200E8RzVhjTc5XiUm/oAQuIrgbi1IGNu63tsl
TXpUKEC9zr3mSaZI8JYUKxHBDzkFKgnn+F8IQsIeYqWnX3cdmY4ASDfelXzzDsWq
9tSsxHehPuJ+atiEfARAf6Z4vkPTgwbR0/QzZ2YGKBdTE3Yljg3AisNzrmMXPB5x
oPYYF1iosCKtFzeGfZd0QsDwpHnjXCTKfejs25IlFoZu
-----END CERTIFICATE-----
証明書を「信頼されたルート証明機関」のストアにインポートします。
ここでは PowerShell の Import-Certificate コマンドレットを利用します。
PS C:\Users\gowatana\work> Import-Certificate -FilePath .\ovmm344_ca_cert.txt -CertStoreLocation Cert:CurrentUser\Root
PSParentPath: Microsoft.PowerShell.Security\Certificate::CurrentUser\Root
Thumbprint Subject
---------- -------
5C4927B6D0A0BEC01AAF8735EFEDB9ED2992DDA1 CN=OVM CA ovmm344.go-lab.jp, OU=Oracle VM Manager, O=Oracle Corporation, L=Redwood City, S=California, C=US
PS C:\Users\gowatana\work>
コマンド実行直後に下記のようなセキュリティ警告が表示されますが、
意図どおりのものなので「はい」をクリックします。
インポートした証明書は下記のように確認することができます。
今回の OVMM は、ovmm344.go-lab.jp というホスト名です。
PS C:\Users\gowatana\work> ls Cert:CurrentUser\Root | where {$_.Subject -match "ovmm344.go-lab.jp"} | fl Issuer,Subject,SerialNumber,NotAfter,NotBefore
Issuer : CN=OVM CA ovmm344.go-lab.jp, OU=Oracle VM Manager, O=Oracle Corporation, L=Redwood City, S=California, C=US
Subject : CN=OVM CA ovmm344.go-lab.jp, OU=Oracle VM Manager, O=Oracle Corporation, L=Redwood City, S=California, C=US
SerialNumber : 5B76AD3841848B7E1F64BC326628B6489A56FC1E
NotAfter : 2027/11/25 13:15:28
NotBefore : 2017/11/24 13:15:28
Web ブラウザを起動しなおして OVMM にアクセスすると、
証明書エラーが解消されています。
Google Chrome
Microsoft Edge
これで OVMM へのアクセスの手間が少し軽減されます。
以上、OVMM の SSL 証明書エラー対策でした。
0 件のコメント:
コメントを投稿