자체 서명된 SSL 인증서
By default, SUSE Manager uses a self-signed certificate. In this case, the certificate is created and signed by SUSE Manager. This method does not use an independent certificate authority to guarantee that the details of the certificate are correct. Third-party CAs perform checks to ensure that the information contained in the certificate is correct.
-
For more information on third-party CAs, see SSL 인증서 임포트.
-
For more information on replacing certificates, see administration:ssl-certs-imported.adoc#ssl-certs-import-replace.
이 섹션에서는 신규 또는 기존 설치에서 자체 서명된 인증서를 생성하거나 다시 생성하는 방법을 설명합니다.
SSL 키 및 인증서의 호스트 이름은 이를 배포하는 시스템의 정규화된 호스트 이름과 일치해야 합니다.
1. 기존 서버 인증서 재생성
기존 인증서가 만료되었거나 어떤 이유로 작동이 중지된 경우 기존 CA에서 새 서버 인증서를 생성할 수 있습니다.
-
SUSE Manager 서버의 명령 프롬프트에서 서버 인증서를 재생성합니다.
rhn-ssl-tool --gen-server --dir="/root/ssl-build" --set-country="COUNTRY" \ --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \ --set-org-unit="ORGANIZATION UNIT" --set-email="name@example.com" \ --set-hostname="susemanager.example.com" --set-cname="example.com" --no-rpm
set-cname파라미터가 SUSE Manager 서버의 정규화된 도메인 이름인지 확인합니다. 여러 별칭이 필요한 경우set-cname파라미터를 여러 번 사용하면 됩니다.
개인 키 및 서버 인증서는 /root/ssl-build/susemanager/ 디렉토리에서 server.key 및 server.crt로 찾을 수 있습니다. 마지막 디렉토리의 이름은 --set-hostname 옵션과 함께 사용된 호스트 이름에 따라 다릅니다.
mgr-ssl-cert-setup 툴을 사용하여 새 인증서와 키를 배포합니다. 자세한 내용은 administration:ssl-certs-imported.adoc#ssl-certs-import-replace에서 확인할 수 있습니다.
2. 새 CA 및 서버 인증서 생성
|
루트 CA를 교체해야 하는 경우에는 유의해야 합니다. 서버와 클라이언트 간의 신뢰 체인이 끊길 수 있습니다. 그러한 경우 관리 사용자가 모든 클라이언트에 로그인하여 CA를 직접 배포해야 합니다. |
-
SUSE Manager 서버의 명령 프롬프트에서 이전 인증서 디렉토리를 새 위치로 이동합니다.
mv /root/ssl-build /root/old-ssl-build
-
새 CA 인증서를 생성합니다.
rhn-ssl-tool --gen-ca --dir="/root/ssl-build" --set-country="COUNTRY" \ --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \ --set-org-unit="ORGANIZATION UNIT" --set-common-name="SUSE Manager CA Certificate" \ --set-email="name@example.com"
-
새 서버 인증서 생성:
rhn-ssl-tool --gen-server --dir="/root/ssl-build" --set-country="COUNTRY" \ --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \ --set-org-unit="ORGANIZATION UNIT" --set-email="name@example.com" \ --set-hostname="susemanager.example.top" --set-cname="example.com"
set-cname파라미터가 SUSE Manager 서버의 정규화된 도메인 이름인지 확인합니다. 여러 별칭이 필요한 경우set-cname파라미터를 여러 번 사용하면 됩니다.호스트 이름 및 cname을 사용하여 각 프록시에 대해서도 서버 인증서를 생성해야 합니다.