SSL 인증서 임포트

이 섹션에서는 새 SUSE Manager의 설치를 위해 SSL 인증서를 구성하는 방법과 기존 인증서를 교체하는 방법을 설명합니다.

시작하기 전, 다음을 확인해야 합니다.

  • 인증 기관(CA) SSL 공개 인증서. CA 체인을 사용하는 경우 모든 중간 CA도 반드시 사용 가능해야 합니다.

  • SSL 서버 개인 키

  • SSL 서버 인증서

모든 파일은 PEM 형식이어야 합니다.

SSL 서버 인증서의 호스트명은 해당 인증서를 배포하는 머신의 전체 호스트 이름과 일치해야 합니다. 인증서의 X509v3 Subject Alternative Name 섹션에서 호스트 이름을 설정할 수 있습니다. 환경에 따라 필요한 경우 여러 호스트 이름을 나열할 수도 있습니다. 지원되는 키 유형은 RSAEC(Elliptic Curve)입니다.

타사 기관은 일반적으로 중간 CA를 사용하여 요청된 서버 인증서에 서명합니다. 이 경우 체인의 모든 CA를 사용할 수 있어야 합니다. 중간 CA를 지정하기 위해 사용할 수 있는 추가 파라미터 또는 옵션이 없는 경우 모든 CA(루트 CA 및 중간 CA)를 하나의 파일에 저장해야 합니다.

1. 새 설치를 위해 인증서 임포트

기본적으로 SUSE Manager는 자체 서명된 인증서를 사용합니다. 초기 설정을 완료한 후, 기본 인증서를 임포트한 인증서로 바꿀 수 있습니다.

절차: 새 SUSE Manager 서버에서 인증서 임포트

  1. SUSE Manager 5.0 서버 배포의 지침에 따라 SUSE Manager 서버를 배포합니다. mgradm install podman에 올바른 파일을 파라미터로 전달해야 합니다. 파라미터는 다음과 같습니다.

    타사 SSL 인증서 플래그:
      --ssl-ca-intermediate 문자열   임시 CA 인증서 경로
      --ssl-ca-root 문자열            루트 CA 인증서 경로
      --ssl-server-cert 문자열        서버 인증서 경로
      --ssl-server-key 문자열         서버 키 경로

중간 CA는 --root-ca-file로 지정한 파일에서 사용하거나 --intermediate-ca-file을 사용하여 추가 옵션으로 지정할 수 있습니다. --ssl-ca-intermediate 옵션은 여러 번 지정할 수 있습니다.

2. 새 프록시 설치를 위한 인증서 임포트

기본적으로 SUSE Manager 프록시는 자체 서명된 인증서를 사용합니다. 초기 설정을 완료한 후 기본 인증서를 임포트한 인증서로 바꿀 수 있습니다.

절차: 새 SUSE Manager 프록시에서 인증서 임포트

  1. SUSE Manager 5.0 프록시 배포의 지침에 따라 SUSE Manager 프록시를 설치합니다.

  2. 프롬프트를 따라 설정을 완료합니다.

동일한 인증 기관(CA)을 사용하여 서버 및 프록시에 대한 모든 서버 인증서에 서명합니다. 다른 CA로 서명된 인증서는 일치하지 않습니다.

3. 인증서 바꾸기

SUSE Manager 설치의 활성 인증서를 새 인증서로 교체할 수 있습니다. 인증서를 교체하려면 설치된 CA 인증서를 새 CA로 교체한 후 데이터베이스를 업데이트하면 됩니다.

절차: 모든 기존 인증서 교체

  1. SUSE Manager 컨테이너 호스트에서, 명령 프롬프트에서 인증서 파일을 컨테이너에 임시로 복사합니다.

    <Root_CA_Certificate> <Server_Cert_File> <Server_Key_File>의 f에 대해 다음을 실행
  mgrctl cp $f server:/tmp
done

  2. SUSE Manager 컨테이너 호스트에서 다음 명령어를 호출하여 인증서를 파라미터로 제공하는 컨테이너 내부에서 mgr-ssl-cert-setup을 실행합니다.

    mgrctl exec -ti -- mgr-ssl-cert-setup --root-ca-file=/tmp/<Root_CA_Certificate> \
  --server-cert-file=/tmp/<Server_Cert_File> --server-key-file=/tmp/<Server_Key_File>

  3. 컨테이너에서 임시로 복사한 파일을 제거:

    mgrctl exec -ti -- rm /tmp/<Root_CA_Certificate> /tmp/<Server_Cert_File> \
  /tmp/<Server_Key_File>
mgradm restart

중간 CA는 --root-ca-file로 지정한 파일에서 사용하거나 --intermediate-ca-file을 사용하여 추가 옵션으로 지정할 수 있습니다. intermediate-ca-file 옵션은 여러 번 지정할 수 있습니다. mgr-ssl-cert-setup 명령은 제공된 파일이 유효하고 요청된 사용 사례에 적합한지 테스트합니다. 그런 다음 이 명령은 파일이 필요한 모든 위치에 파일을 복사하거나 배포합니다.

절차: 서버 재시작

  1. 컨테이너 호스트에서 서비스를 재시작하여 변경사항을 적용합니다.

    mgradm restart

프록시를 사용하는 경우, 각 프록시의 호스트 이름과 cname을 사용하여 각 프록시에 대한 서버 인증서 RPM을 생성해야 합니다. 새로운 구성 tarball을 생성하고 배포합니다.

자세한 내용은 installation-and-upgrade:container-deployment/suma/proxy-deployment-suma.adoc#_generate_proxy_configuration에서 확인할 수 있습니다.

루트 CA가 변경된 경우 SUSE Manager에 연결된 모든 클라이언트에 배포해야 합니다.

절차: 클라이언트에 루트 CA 배포

  1. SUSE Manager Web UI에서 Systems  개요로 이동합니다.

  2. 시스템 설정 관리자에 추가하려면 모든 클라이언트를 선택합니다.

  3. 시스템  시스템 세트 관리자  개요으로 이동합니다.

  4. 상태 필드에서 적용을 클릭하여 시스템 상태를 적용합니다.

  5. Highstate 페이지에서 Highstate 적용을 클릭하여 변경사항을 클라이언트에 전파합니다.