SSL 인증서 임포트

이 섹션에서는 새 SUSE Manager의 설치를 위해 SSL 인증서를 구성하는 방법과 기존 인증서를 교체하는 방법을 설명합니다.

시작하기 전, 다음을 확인해야 합니다.

  • 인증 기관(CA) SSL 공개 인증서. CA 체인을 사용하는 경우 모든 중간 CA도 반드시 사용 가능해야 합니다.

  • SSL 서버 개인 키

  • SSL 서버 인증서

모든 파일은 PEM 형식이어야 합니다.

SSL 서버 인증서의 호스트명은 해당 인증서를 배포하는 머신의 전체 호스트 이름과 일치해야 합니다. 인증서의 X509v3 Subject Alternative Name 섹션에서 호스트 이름을 설정할 수 있습니다. 환경에 따라 필요한 경우 여러 호스트 이름을 나열할 수도 있습니다. 지원되는 키 유형은 RSAEC(Elliptic Curve)입니다.

타사 기관은 일반적으로 중간 CA를 사용하여 요청된 서버 인증서에 서명합니다. 이 경우 체인의 모든 CA를 사용할 수 있어야 합니다. 중간 CA를 지정하기 위해 사용할 수 있는 추가 파라미터 또는 옵션이 없는 경우 모든 CA(루트 CA 및 중간 CA)를 하나의 파일에 저장해야 합니다.

1. 새 설치를 위해 인증서 임포트

기본적으로 SUSE Manager는 자체 서명된 인증서를 사용합니다. 초기 설정을 완료한 후, 기본 인증서를 임포트한 인증서로 바꿀 수 있습니다.

절차: 새 SUSE Manager 서버에서 인증서 임포트

  1. 설치의 지침에 따라 SUSE Manager 서버를 설치합니다.

  2. SUSE Manager 서버 설정에 따라 초기 설정을 완료합니다.

  3. 명령 프롬프트에서 SSL 환경 변수가 인증서 파일 위치를 가리키도록 합니다. 이를 위해 다음을 수행합니다.

    export CA_CERT=<path_to_CA_certificates_file>
export SERVER_KEY=<path_to_web_server_key>
export SERVER_CERT=<path_to_web_server_certificate>

  4. 다음 SUSE Manager 설정을 완료합니다.

    yast susemanager_setup

    설정하는 동안 인증서 세부 사항을 묻는 메시지가 표시되면 임의의 값을 입력합니다. 값은 명령 프롬프트에서 지정한 값으로 재정의됩니다.

환경 변수를 엑스포트한 동일한 셸에서 yast susemanager_setup 명령을 실행합니다.

2. 새 프록시 설치를 위한 인증서 임포트

기본적으로 SUSE Manager 프록시는 자체 서명된 인증서를 사용합니다. 초기 설정을 완료한 후 기본 인증서를 임포트한 인증서로 바꿀 수 있습니다.

절차: 새 SUSE Manager 프록시에서 인증서 임포트

  1. 설치의 지침에 따라 SUSE Manager 프록시를 설치합니다.

  2. SUSE Manager 프록시 설정에 따라 초기 설정을 완료합니다.

  3. 명령 프롬프트에서 다음을 실행합니다.

    configure-proxy.sh

  4. 기존 인증서를 임포트하시겠습니까? 프롬프트에서 y를 입력합니다.

  5. 프롬프트를 따라 설정을 완료합니다.

동일한 인증 기관(CA)을 사용하여 서버 및 프록시에 대한 모든 서버 인증서에 서명합니다. 다른 CA로 서명된 인증서는 일치하지 않습니다.

3. 인증서 바꾸기

SUSE Manager 설치의 활성 인증서를 새 인증서로 교체할 수 있습니다. 인증서를 교체하려면 설치된 CA 인증서를 새 CA로 교체한 후 데이터베이스를 업데이트하면 됩니다.

3.1. 서버에서

절차: 기존 인증서 교체

  1. SUSE Manager 서버의 명령 프롬프트에서 인증서를 파라미터로 하여 mgr-ssl-cert-setup 명령을 호출:

    mgr-ssl-cert-setup --root-ca-file=<Path_to_Root_CA_Certificate> \
  --server-cert-file=<Server_Cert_File> --server-key-file=<Server_Key_File>

중간 CA는 --root-ca-file로 지정된 파일에서 사용하거나 --intermediate-ca-file로 추가 옵션으로 지정할 수 있습니다. --intermediate-ca-file 옵션은 여러 번 지정할 수 있습니다. 이 명령은 제공된 파일에 대해 다양한 테스트를 수행하여 파일이 유효하며 요청된 사용 사례에 사용할 수 있는지를 테스트합니다.

  1. 서비스를 재시작하여 변경사항을 적용합니다.

    spacewalk-service stop
systemctl restart postgresql.service
spacewalk-service start

3.2. 프록시에서

프록시를 사용하는 경우 SUSE Manager 서버에서 프록시에 대한 서버 인증서를 생성하고 파일을 프록시에 복사해야 합니다. 또는 자체 인증 기관에서 이러한 파일을 생성하여 프록시에서 제공하도록 할 수 있습니다. 프록시에서 파일을 사용할 수 있게 되면 SUSE Manager 프록시에서도 mgr-ssl-cert-setup을 사용하여 인증서를 바꿉니다. SUSE Manager 프록시에는 postgreSQL 데이터베이스가 없으므로 전용 프록시 재시작 명령으로 충분합니다.

spacewalk-proxy restart

3.3. Salt 클라이언트에 루트 CA 배포

루트 CA가 변경된 경우 SUSE Manager에 연결된 모든 클라이언트에 배포해야 합니다.

절차: Salt 클라이언트에 루트 CA 배포

  1. SUSE Manager Web UI에서 Systems  개요로 이동합니다.

  2. 시스템 세트 관리자에 추가하려면 모든 Salt 클라이언트를 선택합니다.

  3. 시스템  시스템 세트 관리자  개요으로 이동합니다.

  4. 상태 필드에서 적용을 클릭하여 시스템 상태를 적용합니다.

  5. Highstate 페이지에서 Highstate 적용을 클릭하여 변경사항을 클라이언트에 전파합니다.

3.4. 기존 클라이언트의 추가 처리

기존 타 클라이언트는 더 이상 지원되지 않으므로 Salt 클라이언트로 대체해야 합니다.

SUSE Manager에 연결된 기존의 관리되는 클라이언트가 여전히 존재하는 경우 CA를 교체하려면 몇 가지 추가 단계가 필요합니다.

중요한 사항은 새 CA가 SUSE Manager 서버 및 프록시에서 활성화될 때 클라이언트의 연결이 끊어지지 않는다는 것입니다. 영향을 받는 클라이언트에 '이전' 및 '새' 루트 CA 인증서를 배포하고 이를 신뢰합니다. 구성 채널을 사용하여 인증서 파일을 클라이언트에 배포하고 원격 명령 기능을 사용하여 신뢰 저장소를 재생성합니다.

SUSE Manager 서버 및 프록시에서 새 인증서를 활성화한 후, 연결이 작동하고 클라이언트에서 작업을 계속 예약할 수 있는지 테스트합니다. 이 경우 '이전' 루트 CA를 클라이언트에서 제거할 수 있습니다.