부록 C. Red Hat Enterprise Virtualization 및 SSL

C.1. Red Hat Enterprise Virtualization Manager SSL 인증서 변경

주의

/etc/pki 디렉토리 또는 서브 디렉토리의 권한 및 소유권을 변경하지 않습니다. /etc/pki/etc/pki/ovirt-engine 디렉토리의 권한은 기본 755를 유지해야 합니다.
조직의 상용 서명 인증서를 사용하여 HTTPS를 통해 연결하는 사용자에게 Red Hat Enterprise Virtualization Manager를 식별하게 할 수 있습니다.

참고

상용 발행된 https 연결 용 인증서를 사용하는 것은 Manager와 호스트 간의 인증에 사용되는 인증서에 영향을 주지 않고 Manager에 의해 생성된 자체 서명된 인증서를 계속 사용합니다.
전제 조건

이 절차에서는 상용 인증서 발급 기관에서의 PEM 형식 인증서인 .nokey 파일 및 .cer 파일이 필요합니다. .nokey.cer 파일은 P12 형식의 인증키 번들로 배포됩니다.

이 절차에서는 P12 형식의 인증키 번들이 있다는 것을 전제로 합니다.

절차 C.1. Red Hat Enterprise Virtualization Manager Apache SSL 인증서 교체

  1. Manager는 /etc/pki/ovirt-engine/ca.pem에 심볼릭 링크된 /etc/pki/ovirt-engine/apache-ca.pem을 사용하도록 설정되어 있습니다. 심볼릭 링크를 제거합니다. 
    # rm /etc/pki/ovirt-engine/apache-ca.pem
  2. 상용 발행된 인증서를 /etc/pki/ovirt-engine/apache-ca.pem으로 저장합니다. 인증서 체인은 root 인증서 까지 완료해야 합니다. 체인 순서는 중요하며 중간 인증서에서 root 인증서로 되어 있어야 합니다. 
    mv YOUR-3RD-PARTY-CERT.pem /etc/pki/ovirt-engine/apache-ca.pem
  3. P12 번들을 /etc/pki/ovirt-engine/keys/apache.p12로 이동합니다.
  4. 번들에서 키를 추출합니다. 
    # openssl pkcs12 -in  /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /etc/pki/ovirt-engine/keys/apache.key.nopass
  5. 번들에서 인증서를 추출합니다. 
    # openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /etc/pki/ovirt-engine/certs/apache.cer
  6. Apache 서버를 다시 시작합니다. 
    # service httpd restart
https 트래픽을 암호화하는데 사용되는 인증서의 신뢰성에 대한 경고없이 사용자는 포털에 접속할 수 있습니다.

중요

인증서를 변경하면 https://access.redhat.com/solutions/458713에서 설명되어 있듯이 로그 수집기에서 오류가 발생할 수 있습니다. 이러한 오류가 발생하지 않게 하려면 로그 수집기의 설정을 다음과 같이 편집합니다:
  1. CA 서버에서 CA 인증서를 내보내기하여 Red Hat Enterprise Virtualization Manager 서버에 복사합니다.
  2. /etc/ovirt-engine/logcollector.conf에 다음 행을 추가하면 로그 수집기가 새 위치를 가리킵니다: 
    cert-file=/path/to/new/CA/file