Oracle hat mit OLVM – Oracle Linux Virtualization Manager – die Laufzeit der SSL Zertifikate reduziert. Damit abgelaufene Zertifikate den Betrieb von OLVM nicht verhindern, bekommt man eine automatische eMail mit einer Erinnerung, dass diese erneuert werden müssen – allerdings nur, wenn man eMail Notification konfiguriert hat und die eMails auch korrekt zugestellt werden.
Damit man keine Überraschungen erlebt, kann man die Zertifikate auch manuell überprüfen. Dafür gibt es folgende Shell-Scripts.
Script zur Überprüfung am OLVM Manager
Dieses Script ist für den OVLM Manager gedacht:
cat check_olvm_cert.sh
#!/bin/bash
for F in /etc/pki/ovirt-engine/ca.pem \
/etc/pki/ovirt-engine/qemu-ca.pem \
/etc/pki/ovirt-engine/certs/apache.cer \
/etc/pki/ovirt-engine/certs/engine.cer \
/etc/pki/ovirt-engine/certs/imageio-proxy.cer \
/etc/pki/ovirt-engine/certs/jboss.cer \
/etc/pki/ovirt-engine/certs/ovirt-provider-ovn.cer \
/etc/pki/ovirt-engine/certs/ovn-ndb.cer \
/etc/pki/ovirt-engine/certs/ovn-sdb.cer \
/etc/pki/ovirt-engine/certs/reports.cer \
/etc/pki/ovirt-engine/certs/vmconsole-proxy-helper.cer \
/etc/pki/ovirt-engine/certs/vmconsole-proxy-host.cer \
/etc/pki/ovirt-engine/certs/vmconsole-proxy-user.cer \
/etc/pki/ovirt-engine/certs/websocket-proxy.cer
do
B=$(openssl x509 -in "$F" -noout -dates 2>/dev/null | grep ^notBefore= | cut -d '=' -f2-)
A=$(openssl x509 -in "$F" -noout -dates 2>/dev/null | grep ^notAfter= | cut -d '=' -f2-)
printf "%-60s %s %s\n" "$F" "$B" "$A"
done
Hier ein Beispiel-Output:
[root@olvmmanager ~]# ./check_olvm_cert.sh
/etc/pki/ovirt-engine/ca.pem Jun 9 08:37:34 2021 GMT Jun 8 08:37:34 2031 GMT
/etc/pki/ovirt-engine/qemu-ca.pem
/etc/pki/ovirt-engine/certs/apache.cer Jun 9 08:37:40 2021 GMT May 15 08:37:40 2026 GMT
/etc/pki/ovirt-engine/certs/engine.cer Jun 9 08:37:39 2021 GMT May 15 08:37:39 2026 GMT
/etc/pki/ovirt-engine/certs/imageio-proxy.cer Jun 9 08:37:41 2021 GMT May 15 08:37:41 2026 GMT
/etc/pki/ovirt-engine/certs/jboss.cer Jun 9 08:37:39 2021 GMT May 15 08:37:39 2026 GMT
/etc/pki/ovirt-engine/certs/ovirt-provider-ovn.cer Jun 9 08:37:42 2021 GMT May 15 08:37:42 2026 GMT
/etc/pki/ovirt-engine/certs/ovn-ndb.cer Jun 9 08:37:41 2021 GMT May 15 08:37:41 2026 GMT
/etc/pki/ovirt-engine/certs/ovn-sdb.cer Jun 9 08:37:42 2021 GMT May 15 08:37:42 2026 GMT
/etc/pki/ovirt-engine/certs/reports.cer Jun 9 08:37:40 2021 GMT May 15 08:37:40 2026 GMT
/etc/pki/ovirt-engine/certs/vmconsole-proxy-helper.cer Jun 9 08:38:00 2021 GMT May 15 08:38:00 2026 GMT
/etc/pki/ovirt-engine/certs/vmconsole-proxy-host.cer Jun 9 08:38:00 2021 GMT May 15 08:38:00 2026 GMT
/etc/pki/ovirt-engine/certs/vmconsole-proxy-user.cer Jun 9 08:38:00 2021 GMT May 15 08:38:00 2026 GMT
/etc/pki/ovirt-engine/certs/websocket-proxy.cer Jun 9 08:37:39 2021 GMT May 15 08:37:39 2026 GMT
Leider liefert das Script nicht für alle Cert-Stores einen korrekten Output. Man sieht aber, dass es hier zwei verschiedenen Laufzeiten gibt. In diesem Beispiel laufen die Zertifikate großteils am 15. Mai 2026 ab und müssen daher davor verlängert werden.
Script zur Überprüfung am KVM Hosts
Das folgende Script muss auf allen KVM Hosts laufen:
cat check_kvm_cert.sh
#!/bin/bash
for F in /etc/pki/vdsm/certs/vdsmcert.pem \
/etc/pki/vdsm/libvirt-spice/server-cert.pem \
/etc/pki/vdsm/libvirt-vnc/server-cert.pem \
/etc/pki/libvirt/clientcert.pem \
/etc/pki/vdsm/libvirt-migrate/server-cert.pem
do
B=$(openssl x509 -in "$F" -noout -dates 2>/dev/null | grep ^notBefore= | cut -d '=' -f2-)
A=$(openssl x509 -in "$F" -noout -dates 2>/dev/null | grep ^notAfter= | cut -d '=' -f2-)
printf "%-60s %s %s\n" "$F" "$B" "$A"
done
Beispiel Output:
[root@olvmhost1 ~]# ./check_kvm_cert.sh
/etc/pki/vdsm/certs/vdsmcert.pem Apr 19 08:50:39 2024 GMT Apr 19 08:50:39 2029 GMT
/etc/pki/vdsm/libvirt-spice/server-cert.pem Apr 19 08:50:39 2024 GMT Apr 19 08:50:39 2029 GMT
/etc/pki/vdsm/libvirt-vnc/server-cert.pem Jun 9 14:48:20 2021 GMT Jun 9 14:48:20 2026 GMT
/etc/pki/libvirt/clientcert.pem Apr 19 08:50:39 2024 GMT Apr 19 08:50:39 2029 GMT
/etc/pki/vdsm/libvirt-migrate/server-cert.pem
Auch hier gibt es leider nicht für alle Cert-Stores einen Output. Das früheste ablaufende Zertifikat ist am 9. Juni 2026 fällig.
Hinweis:
Es ist sinnvoll, wenn man über alle eingesetzte OLVM Server prüft und dann die Erneuerung der Zertifikate für alle Server auf einmal durchführt. Dadurch hat man in Zukunft nur noch einen Termin für zu beachten.
Referenzen
- Oracle Linux Virtualization Manager 4.5 Administatior´s Guide
- OLVM: How to Renew SSL Certificates that are Expired or Nearing Expiration (Doc ID 3006292.1)