SSL 인증서 임포트

이 섹션에서는 새 SUSE Manager의 설치를 위해 SSL 인증서를 구성하는 방법과 기존 인증서를 교체하는 방법을 설명합니다.

시작하기 전, 다음을 확인해야 합니다.

  • 인증 기관(CA) SSL 공개 인증서. CA 체인을 사용하는 경우 모든 중간 CA도 사용할 수 있어야 합니다.

  • SSL 서버 개인 키

  • SSL 서버 인증서

모든 파일은 PEM 형식이어야 합니다.

SSL 서버 인증서의 호스트 이름은 인증서 배포 대상이 되는 시스템의 정규화된 호스트 이름과 일치해야 합니다. 인증서의 X509v3 Subject Alternative Name 섹션에서 호스트 이름을 설정할 수 있습니다. 환경에 필요한 경우 여러 호스트 이름을 나열할 수도 있습니다. 지원되는 키 유형은 RSAEC(Elliptic Curve)입니다.

타사 기관은 일반적으로 중간 CA를 사용하여 요청된 서버 인증서에 서명합니다. 이 경우 체인의 모든 CA를 사용할 수 있어야 합니다. 중간 CA를 지정하기 위해 사용할 수 있는 추가 파라미터 또는 옵션이 없는 경우 모든 CA(루트 CA 및 중간 CA)를 하나의 파일에 저장해야 합니다.

1. 새 설치를 위해 인증서 임포트

기본적으로 SUSE Manager는 자체 서명된 인증서를 사용합니다. 초기 설정을 완료한 후, 기본 인증서를 임포트한 인증서로 바꿀 수 있습니다.

절차: 새 SUSE Manager 서버에서 인증서 임포트
  1. SUSE Manager 5.0.1 서버 배포의 지침에 따라 SUSE Manager 서버를 배포합니다. mgradm install podman에 올바른 파일을 파라미터로 전달해야 합니다. 파라미터는 다음과 같습니다.

    타사 SSL 인증서 플래그:
          --ssl-ca-intermediate 문자열   임시 CA 인증서 경로
          --ssl-ca-root 문자열            루트 CA 인증서 경로
          --ssl-server-cert 문자열        서버 인증서 경로
          --ssl-server-key 문자열         서버 키 경로

2. 새 프록시 설치를 위한 인증서 임포트

기본적으로 SUSE Manager 프록시는 자체 서명된 인증서를 사용합니다. 초기 설정을 완료한 후 기본 인증서를 임포트한 인증서로 바꿀 수 있습니다.

절차: 새 SUSE Manager 프록시에서 인증서 임포트
  1. SUSE Manager 5.0.1 프록시 배포의 지침에 따라 SUSE Manager 프록시를 설치합니다.

  2. 프롬프트를 따라 설정을 완료합니다.

동일한 인증 기관을 사용하여 서버 및 프록시에 대한 모든 서버 인증서에 서명합니다. 다른 CA로 서명된 인증서는 일치하지 않습니다.

3. 인증서 바꾸기

SUSE Manager 설치의 활성 인증서를 새 인증서로 교체할 수 있습니다. 인증서를 교체하려면 설치된 CA 인증서를 새 CA로 교체한 후 데이터베이스를 업데이트하면 됩니다.

절차: 기존 인증서 교체
  1. SUSE Manager 서버의 명령 프롬프트에서 mgr-ssl-cert-setup 명령을 호출하고 인증서를 파라미터로 입력:

    mgrctl exec -- mgr-ssl-cert-setup --root-ca-file=<Path_to_Root_CA_Certificate> --server-cert-file=<Server_Cert_File> --server-key-file=<Server_Key_File>

중간 CA는 --root-ca-file로 지정된 파일에서 사용하거나 --intermediate-ca-file로 추가 옵션으로 지정할 수 있습니다. --intermediate-ca-file 옵션은 여러 번 지정할 수 있습니다. 이 명령은 제공된 파일에 대해 다양한 테스트를 수행하여 파일이 유효하며 요청된 사용 사례에 사용할 수 있는지를 테스트합니다.

  1. 서비스를 재시작하여 변경사항을 적용합니다.

    mgrctl exec -- spacewalk-service stop
    mgrctl exec -- systemctl restart postgresql.service
    mgrctl exec -- spacewalk-service start

프록시를 사용하는 경우 호스트 이름과 cname을 사용하여 각 프록시에 대한 서버 인증서 RPM을 생성해야 합니다. 인증서를 교체하려면 SUSE Manager 프록시에서도 mgr-ssl-cert-setup을 사용해야 합니다. SUSE Manager 프록시에는 postgreSQL 데이터베이스가 없기 때문에 spacewalk-service restart만 있으면 충분합니다.

루트 CA가 변경된 경우 SUSE Manager에 연결된 모든 클라이언트에 배포해야 합니다.

절차: Salt 클라이언트에 루트 CA 배포
  1. SUSE Manager Web UI에서 Systems  개요로 이동합니다.

  2. 시스템 세트 관리자에 추가하려면 모든 Salt 클라이언트를 선택합니다.

  3. 시스템  시스템 세트 관리자  개요으로 이동합니다.

  4. 상태 필드에서 적용을 클릭하여 시스템 상태를 적용합니다.

  5. Highstate 페이지에서 Highstate 적용을 클릭하여 변경사항을 클라이언트에 전파합니다.