Product SiteDocumentation Site

13.2. Administración remota en TLS y SSL

Puede administrar máquinas virtuales mediante TLS y SSL. TLS y SSL proporcionan un mejor escalamiento, pero su utilización es más complicada que ssh (consulte la Sección 13.1, “Administración remota con SSH”). TLS y SSL utilizan la misma tecnología que los navegadores de red para establecer conexiones seguras. La conexión de administración de libvirt abre un puerto TCP para conexiones de entrada, el cual está cifrado y autenticado de modo seguro basado en certificados x509. Además la consola de VNC para cada máquina de huésped virtual estará configurada para usar TLS con autenticación de certificado x509.
Este método no requiere cuentas de shell en las máquinas remotas que están siendo administradas. No obstante, se necesitan reglas adicionales de firewall para acceder al servicio de administración o consola de VNC. La lista de revocación puede rescindir el acceso de usuarios.
Pasos para configurar el acceso a TLS/SSL para virt-manager
La siguiente guía supone que se esta empezando de cero y que no se tiene conocimiento del certificado TLS/SSL. Si tiene la suerte de contar con un servidor de administración de certificado, probablemente puede pasar por alto estos pasos.
Configurar servidor de libvirt
Para mayor información sobre la creación de certificados, consulte libvirt en el sitio Web, http://libvirt.org/remote.html.
Servidor Xen VNC
El servidor Xen VNC puede habilitar TLS al editar el archivo de configuración, /etc/xen/xend-config.sxp. Elimine el comentario en el parámetro de configuración (vnc-tls 1) en el archivo de configuración.
El directorio /etc/xen/vnc necesita los siguientes tres archivos:
  • ca-cert.pem - El certificado CA
  • server-cert.pem - El certificado de servidor firmado por CA
  • server-key.pem - La llave de servidor privada
Esta llave proporciona la encriptación del canal de datos. Puede ser apropiado requerir que los clientes presenten sus propios certificados x509 como una forma de autenticación. Para habilitarlo, elimine el comentario en el parámetro (vnc-x509-verify 1).
Configuración de cliente virt-manager y virsh
La configuración para cliente es un poco inconsistente en este momento. Para permitir la administración API de libvirt en TLS, los certificados CA y de cliente se deben ubicar en /etc/pki. Para mayor información, consulte http://libvirt.org/remote.html
En la interfaz de usuario virt-manager, utilice la opción de mecanismo de transporte 'SSL/TLS' cuando se conecte a un host.
Para virsh, el URI tiene el siguiente formato:
  • qemu://hostname.guestname/system para KVM.
  • xen://hostname.guestname/ para Xen.
Para habilitar SSL y TLS para VNC, es necesario poner la autoridad de certificado y los certificados de cliente dentro de $HOME/.pki, es decir en los tres archivos siguientes: