자체 서명된 SSL 인증서

기본적으로 SUSE Multi-Linux Manager은(는) 자체 서명 인증서를 사용합니다. 이 경우 인증서는 SUSE Multi-Linux Manager에 의해 생성 및 서명됩니다. 이 방법에서는 인증서의 세부 사항이 정확한지 확인하기 위해 독립 인증 기관을 사용하지 않습니다. 타사 CA는 인증서에 포함된 정보가 정확한지 확인하기 위해 검사를 수행합니다.

이 섹션에서는 신규 또는 기존 설치에서 자체 서명된 인증서를 생성하거나 다시 생성하는 방법을 설명합니다.

SSL 키 및 인증서의 호스트 이름은 이를 배포하는 시스템의 정규화된 호스트 이름과 일치해야 합니다.

CA certificates generated by older SUSE Multi-Linux Manager versions can miss the critical flag on the X509v3 Basic Constraints extension. Strict certificate validators, including Python 3.13 and later, reject such CA certificates and can report Basic Constraints of CA cert not marked critical. If your self-signed CA is affected, create a new CA and new server certificates, then deploy the new root CA to all clients. For more information about checking the CA certificate, see administration:ssl-certs-imported.adoc#ssl-certs-verify-ca-basic-constraints. For more information about replacing certificates and deploying the root CA to clients, see administration:ssl-certs-imported.adoc#ssl-certs-import-deploy-root-ca.

1. 기존 서버 인증서 재생성

기존 인증서가 만료되었거나 어떤 이유로 작동이 중지된 경우 기존 CA에서 새 서버 인증서를 생성할 수 있습니다.

절차: 기존 서버 인증서 재생성
  1. SUSE Multi-Linux Manager 컨테이너 호스트의 명령 프롬프트에서 서버 인증서 재생성:

    mgrctl exec -ti -- 'rhn-ssl-tool --gen-server --dir="/root/ssl-build" --set-country="COUNTRY" \
    --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \
    --set-org-unit="ORGANIZATION UNIT" --set-email="name@example.com" \
    --set-hostname="susemanager.example.com" --set-cname="example.com"'

    Ensure that the set-cname parameter is the fully qualified domain name of your SUSE Multi-Linux Manager Server. You can use the set-cname parameter multiple times if you require multiple aliases.

The private key and the server certificate can be found inside the server container in the directory /root/ssl-build/susemanager/ as server.key and server.crt. The name of the last directory depends on the hostname used with --set-hostname option.

컨테이너의 호스트 podman 시크릿을 업데이트하여 새 인증서 및 키를 배포하거나 임포트합니다. 방금 생성한 인증서 임포트에 대한 자세한 내용은 administration:ssl-certs-imported.adoc#ssl-certs-import-replace에서 확인할 수 있습니다.

2. 새 CA 및 서버 인증서 생성

루트 CA를 교체해야 하는 경우에는 유의해야 합니다. 서버와 클라이언트 간의 신뢰 체인이 끊길 수 있습니다. 그러한 경우 관리 사용자가 모든 클라이언트에 로그인하여 CA를 직접 배포해야 합니다.

절차: 새 인증서 생성
  1. SUSE Multi-Linux Manager 컨테이너 호스트의 명령 프롬프트에서 이전 인증서 디렉토리를 새 위치로 이동:

    mgrctl exec -- mv /root/ssl-build /root/old-ssl-build
  2. 새 CA 인증서를 생성합니다.

    mgrctl exec -ti -- 'rhn-ssl-tool --gen-ca --dir="/root/ssl-build" --set-country="COUNTRY" \
    --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \
    --set-org-unit="ORGANIZATION UNIT" --set-common-name="SUSE Manager CA Certificate" \
    --set-email="name@example.com"'
  3. 새 서버 인증서 생성:

    mgrctl exec -ti -- 'rhn-ssl-tool --gen-server --dir="/root/ssl-build" --set-country="COUNTRY" \
    --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \
    --set-org-unit="ORGANIZATION UNIT" --set-email="name@example.com" \
    --set-hostname="susemanager.example.top" --set-cname="example.com"'

    Ensure that the set-cname parameter is the fully qualified domain name of your SUSE Multi-Linux Manager Server. You can use the set-cname parameter multiple times if you require multiple aliases.

    호스트 이름 및 cname을 사용하여 각 프록시에 대해서도 서버 인증서를 생성해야 합니다.