Product SiteDocumentation Site

13.2. Remote-Verwaltung über TLS und SSL

Sie können virtuelle Maschinen mit Hilfe von TLS und SSL verwalten. TLS und SSL bieten bessere Skalierbarkeit, sind aber komplizierter als SSH (siehe Abschnitt 13.1, „Remote-Verwaltung mit SSH“). TLS und SSL basieren auf derselben Technologie, die auch von Webbrowsern für sichere Verbindungen verwendet wird. Die libvirt-Verwaltungsverbindung öffnet einen TCP-Port für eingehende Verbindungen, welcher sicher verschlüsselt und authentifiziert ist basierend auf x509-Zertifikaten. Zusätzlich wird die VNC-Konsole für jede virtuelle Gastmaschine für die Verwendung von TLS mit x509-Zertifikatsauthentifizierung eingerichtet.
Dieses Verfahren erfordert keinen Shell-Zugang auf den verwalteten Remote-Maschinen. Allerdings sind zusätzliche Firewall-Regeln erforderlich, um auf den Verwaltungsdienst oder die VNC-Konsole zuzugreifen. Eine Zertifikataufhebungsliste kann dazu benutzt werden, Benutzern den Zugang zu entziehen.
Schritte zum Einrichten von TLS/SSL-Zugang für virt-manager
In der folgenden Kurzanleitung wird angenommen, dass Sie ganz am Anfang beginnen und keinerlei Kenntnisse über TLS/SSL-Zertifikate besitzen. Falls Sie einen Zertifikats-Management-Server haben, können Sie die ersten Schritte wahrscheinlich überspringen.
libvirt-Server-Einrichtung
Mehr Informationen zur Erstellung von Zertifikaten finden Sie auf der libvirt-Website, http://libvirt.org/remote.html.
Xen-VNC-Server
Für den Xen-VNC-Server kann TLS aktiviert werden, indem die Konfigurationsdatei /etc/xen/xend-config.sxp bearbeitet wird. Entfernen Sie in der Konfigurationsdatei die Kommentierung des Konfigurationsparameters (vnc-tls 1).
Das /etc/xen/vnc-Verzeichnis benötigt die folgenden drei Dateien:
  • ca-cert.pem – Das CA-Zertifikat
  • server-cert.pem – Das von der CA signierte Server-Zertifikat
  • server-key.pem – Den privaten Schlüssel des Servers
Dies stellt die Verschlüsselung des Datenkanals bereit. Es kann angebracht sein, von den Clients ihre eigenen x509-Zertifikate als Authentifizierung zu verlangen. Um dies zu aktivieren, entfernen Sie die Kommentierung des (vnc-x509-verify 1)-Parameters.
virt-manager und virsh Client-Einrichtung
Das Einrichten von Clients ist derzeit leicht inkonsistent. Um die libvirt-Verwaltungs-API über TLS zu aktivieren, müssen die CA- und Client-Zertifikate in /etc/pki platziert sein. Weitere Einzelheiten dazu finden Sie unter http://libvirt.org/remote.html.
Verwenden Sie in der virt-manager-Benutzeroberfläche die 'SSL/TLS'-Option als Transportmechanismus beim Verbinden mit einem Host.
Für virsh hat die URI das folgende Format:
  • qemu://hostname.guestname/system für KVM.
  • xen://hostname.guestname/ für Xen.
Um SSL und TLS für VNC zu aktivieren, ist es notwendig, die CA- und Client-Zertifikate in $HOME/.pki zu platzieren. Es handelt sich um die folgenden drei Dateien: