OLVM 4.4/4.5 Zertifikat-Laufzeiten verkürzt

updated on

Oracle hat mit OLVM – Oracle Linux Virtualization Manager – die Laufzeit der SSL Zertifikate reduziert. Damit abgelaufene Zertifikate den Betrieb von OLVM nicht verhindern, bekommt man eine automatische eMail mit einer Erinnerung, dass diese erneuert werden müssen – allerdings nur, wenn man eMail Notification konfiguriert hat und die eMails auch korrekt zugestellt werden.

Damit man keine Überraschungen erlebt, kann man die Zertifikate auch manuell überprüfen. Dafür gibt es folgende Shell-Scripts.

Script zur Überprüfung am OLVM Manager

Dieses Script ist für den OVLM Manager gedacht:

cat check_olvm_cert.sh 
 
#!/bin/bash
 
for F in /etc/pki/ovirt-engine/ca.pem \
         /etc/pki/ovirt-engine/qemu-ca.pem \
         /etc/pki/ovirt-engine/certs/apache.cer \
         /etc/pki/ovirt-engine/certs/engine.cer \
         /etc/pki/ovirt-engine/certs/imageio-proxy.cer \
         /etc/pki/ovirt-engine/certs/jboss.cer \
         /etc/pki/ovirt-engine/certs/ovirt-provider-ovn.cer \
         /etc/pki/ovirt-engine/certs/ovn-ndb.cer \
         /etc/pki/ovirt-engine/certs/ovn-sdb.cer \
         /etc/pki/ovirt-engine/certs/reports.cer \
         /etc/pki/ovirt-engine/certs/vmconsole-proxy-helper.cer \
         /etc/pki/ovirt-engine/certs/vmconsole-proxy-host.cer \
         /etc/pki/ovirt-engine/certs/vmconsole-proxy-user.cer \
         /etc/pki/ovirt-engine/certs/websocket-proxy.cer
do
  B=$(openssl x509 -in "$F" -noout -dates 2>/dev/null | grep ^notBefore= | cut -d '=' -f2-)
  A=$(openssl x509 -in "$F" -noout -dates 2>/dev/null | grep ^notAfter=  | cut -d '=' -f2-)
  printf "%-60s %s %s\n" "$F" "$B" "$A"
done

Hier ein Beispiel-Output:

[root@olvmmanager ~]# ./check_olvm_cert.sh
/etc/pki/ovirt-engine/ca.pem                                 Jun  9 08:37:34 2021 GMT Jun  8 08:37:34 2031 GMT
/etc/pki/ovirt-engine/qemu-ca.pem
/etc/pki/ovirt-engine/certs/apache.cer                       Jun  9 08:37:40 2021 GMT May 15 08:37:40 2026 GMT
/etc/pki/ovirt-engine/certs/engine.cer                       Jun  9 08:37:39 2021 GMT May 15 08:37:39 2026 GMT
/etc/pki/ovirt-engine/certs/imageio-proxy.cer                Jun  9 08:37:41 2021 GMT May 15 08:37:41 2026 GMT
/etc/pki/ovirt-engine/certs/jboss.cer                        Jun  9 08:37:39 2021 GMT May 15 08:37:39 2026 GMT
/etc/pki/ovirt-engine/certs/ovirt-provider-ovn.cer           Jun  9 08:37:42 2021 GMT May 15 08:37:42 2026 GMT
/etc/pki/ovirt-engine/certs/ovn-ndb.cer                      Jun  9 08:37:41 2021 GMT May 15 08:37:41 2026 GMT
/etc/pki/ovirt-engine/certs/ovn-sdb.cer                      Jun  9 08:37:42 2021 GMT May 15 08:37:42 2026 GMT
/etc/pki/ovirt-engine/certs/reports.cer                      Jun  9 08:37:40 2021 GMT May 15 08:37:40 2026 GMT
/etc/pki/ovirt-engine/certs/vmconsole-proxy-helper.cer       Jun  9 08:38:00 2021 GMT May 15 08:38:00 2026 GMT
/etc/pki/ovirt-engine/certs/vmconsole-proxy-host.cer         Jun  9 08:38:00 2021 GMT May 15 08:38:00 2026 GMT
/etc/pki/ovirt-engine/certs/vmconsole-proxy-user.cer         Jun  9 08:38:00 2021 GMT May 15 08:38:00 2026 GMT
/etc/pki/ovirt-engine/certs/websocket-proxy.cer              Jun  9 08:37:39 2021 GMT May 15 08:37:39 2026 GMT

Leider liefert das Script nicht für alle Cert-Stores einen korrekten Output. Man sieht aber, dass es hier zwei verschiedenen Laufzeiten gibt. In diesem Beispiel laufen die Zertifikate großteils am 15. Mai 2026 ab und müssen daher davor verlängert werden.

Script zur Überprüfung am KVM Hosts

Das folgende Script muss auf allen KVM Hosts laufen:

cat check_kvm_cert.sh
 
#!/bin/bash
 
for F in /etc/pki/vdsm/certs/vdsmcert.pem \
         /etc/pki/vdsm/libvirt-spice/server-cert.pem \
         /etc/pki/vdsm/libvirt-vnc/server-cert.pem \
         /etc/pki/libvirt/clientcert.pem \
         /etc/pki/vdsm/libvirt-migrate/server-cert.pem
do
  B=$(openssl x509 -in "$F" -noout -dates 2>/dev/null | grep ^notBefore= | cut -d '=' -f2-)
  A=$(openssl x509 -in "$F" -noout -dates 2>/dev/null | grep ^notAfter=  | cut -d '=' -f2-)
  printf "%-60s %s %s\n" "$F" "$B" "$A"
done

Beispiel Output:

[root@olvmhost1 ~]# ./check_kvm_cert.sh
/etc/pki/vdsm/certs/vdsmcert.pem                             Apr 19 08:50:39 2024 GMT Apr 19 08:50:39 2029 GMT
/etc/pki/vdsm/libvirt-spice/server-cert.pem                  Apr 19 08:50:39 2024 GMT Apr 19 08:50:39 2029 GMT
/etc/pki/vdsm/libvirt-vnc/server-cert.pem                    Jun  9 14:48:20 2021 GMT Jun  9 14:48:20 2026 GMT
/etc/pki/libvirt/clientcert.pem                              Apr 19 08:50:39 2024 GMT Apr 19 08:50:39 2029 GMT
/etc/pki/vdsm/libvirt-migrate/server-cert.pem

Auch hier gibt es leider nicht für alle Cert-Stores einen Output. Das früheste ablaufende Zertifikat ist am 9. Juni 2026 fällig.

Hinweis:
Es ist sinnvoll, wenn man über alle eingesetzte OLVM Server prüft und dann die Erneuerung der Zertifikate für alle Server auf einmal durchführt. Dadurch hat man in Zukunft nur noch einen Termin für zu beachten.

Referenzen

  • Oracle Linux Virtualization Manager 4.5 Administatior´s Guide
  • OLVM: How to Renew SSL Certificates that are Expired or Nearing Expiration (Doc ID 3006292.1)