背景:在powerppc上启动RHEL7(IBM pSeries)
所以我已经开始无人看pipe多年了,过去不得不使用yaboot,NFS等进行kickstart。 试图现代化。 我有一个使用HTTP(Apache)(和TFTP)的工作kickstart。 我的问题是试图做到https 只 。 不知道这是否可能,但有人会认为这是因为你可以指定https。
如果我有以前工作的Web服务器回答HTTP和HTTPS(相同的htdocs),以及下面的grub.conf ,它工作正常(IP和FQDN明显被掩盖):
menuentry 'Install RHEL 7 via Kickstart...' { set root=http,WEBIP linux https://WEBFQDN/software/rhel/ppc/ppc64/vmlinuz ro ip=dhcp ks=https://WEBFQDN/kickstart/rhel7-power.ks echo 'Loading initial ramdisk ...' inst.repo=https://WEBFQDN/software/rhel/ initrd https://WEBFQDN/software/rhel/ppc/ppc64/initrd.img }
但是 tcpdump显示它仍然使用HTTP进行大量的stream量。 实际上,如果我将Web服务器重新configuration为RedirectMatch (.*) https://WEBFQDN/$1 (将所有httpredirect到https,请不要使用http), RedirectMatch (.*) https://WEBFQDN/$1出现以下错误:
错误:无效的独立于ELF的魔法。
如果我删除了RedirectMatch (并返回到允许http而不是redirect),它再次正常工作。
所以,我可以和http一起生活,但理想情况下,web服务器只是https(因为它包含了除kickstart以外的大量敏感数据)。 这可能吗? 我错过了一个关键标志? 我试过root=https,...但是后来我得到了一个“ 找不到文件 ”(我猜是不受支持的networking选项)。
感谢任何指针!
所以,我最终从红帽后面得到了一个答案。 他们表示grub不支持HTTPS,即使有些文档指出您可以使用HTTPS。 事实上,你可以在configuration中使用HTTPS,但它仍然会回滚并使用HTTP。 根据他们的说法,Grub没有加载证书或SSL库。 所以当时没有HTTPS支持。
然后回答这个问题,然后testing:grub.conf被configuration为使用TFTP获取vmlinuz和initrd.img文件(本地),而不是HTTPS(HTTP)。 ks = https:// …和inst.repo = https:// …行可以是HTTPS,因为一旦加载了内核,就会有SSL,并且可以通过HTTPS获取kickstart文件和repo文件。 这样就不会使用HTTP。