Product SiteDocumentation Site

13.2. Remote-Verwaltung über TLS und SSL

You can manage virtual machines using TLS and SSL. TLS and SSL provides greater scalability but is more complicated than ssh (refer to Abschnitt 13.1, „Remote-Verwaltung mit SSH“). TLS and SSL is the same technology used by web browsers for secure connections. The libvirt management connection opens a TCP port for incoming connections, which is securely encrypted and authenticated based on x509 certificates. In addition the VNC console for each guest virtual machine will be setup to use TLS with x509 certificate authentication.
Dieses Verfahren erfordert keinen Shell-Zugang auf den verwalteten Remote-Maschinen. Allerdings sind zusätzliche Firewall-Regeln erforderlich, um auf den Verwaltungsdienst oder die VNC-Konsole zuzugreifen. Eine Zertifikataufhebungsliste kann dazu benutzt werden, Benutzern den Zugang zu entziehen.
Schritte zum Einrichten von TLS/SSL-Zugang für virt-manager
In der folgenden Kurzanleitung wird angenommen, dass Sie ganz am Anfang beginnen und keinerlei Kenntnisse über TLS/SSL-Zertifikate besitzen. Falls Sie einen Zertifikats-Management-Server haben, können Sie die ersten Schritte wahrscheinlich überspringen.
libvirt-Server-Einrichtung
Mehr Informationen zur Erstellung von Zertifikaten finden Sie auf der libvirt-Website, http://libvirt.org/remote.html.
Xen-VNC-Server
Für den Xen-VNC-Server kann TLS aktiviert werden, indem die Konfigurationsdatei /etc/xen/xend-config.sxp bearbeitet wird. Entfernen Sie in der Konfigurationsdatei die Kommentierung des Konfigurationsparameters (vnc-tls 1).
The /etc/xen/vnc directory needs the following 3 files:
  • ca-cert.pem - The CA certificate
  • server-cert.pem - The Server certificate signed by the CA
  • server-key.pem - The server private key
This provides encryption of the data channel. It might be appropriate to require that clients present their own x509 certificate as a form of authentication. To enable this remove the commenting on the (vnc-x509-verify 1) parameter.
virt-manager und virsh Client-Einrichtung
Das Einrichten von Clients ist derzeit leicht inkonsistent. Um die libvirt-Verwaltungs-API über TLS zu aktivieren, müssen die CA- und Client-Zertifikate in /etc/pki platziert sein. Weitere Einzelheiten dazu finden Sie unter http://libvirt.org/remote.html.
Verwenden Sie in der virt-manager-Benutzeroberfläche die 'SSL/TLS'-Option als Transportmechanismus beim Verbinden mit einem Host.
Für virsh hat die URI das folgende Format:
  • qemu://hostname.guestname/system für KVM.
  • xen://hostname.guestname/ für Xen.
Um SSL und TLS für VNC zu aktivieren, ist es notwendig, die CA- und Client-Zertifikate in $HOME/.pki zu platzieren. Es handelt sich um die folgenden drei Dateien: