Show Table of Contents
부록 D. Red Hat Virtualization 및 SSL
D.1. Red Hat Virtualization Manager SSL 인증서 변경
주의
/etc/pki 디렉토리 또는 서브 디렉토리의 권한 및 소유권을 변경하지 않습니다. /etc/pki 및 /etc/pki/ovirt-engine 디렉토리의 권한은 기본 755를 유지해야 합니다.
조직의 상용 서명 인증서를 사용하여 HTTPS를 통해 연결하는 사용자에게 Red Hat Virtualization Manager를 식별하게 할 수 있습니다.
참고
상용 발행된 HTTPS 연결용 인증서를 사용하면 Manager와 호스트 간의 인증에 사용되는 인증서에 영향을 주지 않습니다. Manager에서 생성한 자체 서명된 인증서가 계속 사용됩니다.
전제 조건
이 절차에서는 상용 인증서 발급 기관에서의 PEM 형식 인증서인 .nokey 파일 및 .cer 파일이 필요합니다. .nokey 및 .cer 파일은 P12 형식의 인증키 번들로 배포됩니다.
이 절차에서는 P12 형식의 인증키 번들이 있다는 것을 전제로 합니다.
중요
새로운 Red Hat Virtualization 설치에 대해 이 절차의 모든 단계를 완료해야 합니다. 이미 설정된 상용 서명된 인증서가 있는 Red Hat Enterprise Virtualization 3.6 환경에서 업그레이드한 경우 1, 8, 9 단계만 필요합니다.
절차 D.1. Red Hat Virtualization Manager Apache SSL 인증서 교체
- 상용 발행된 인증서를 호스트 전체 신뢰 저장소에 추가합니다.
# cp YOUR-3RD-PARTY-CERT.pem /etc/pki/ca-trust/source/anchors
# update-ca-trust
- Manager는
/etc/pki/ovirt-engine/ca.pem에 심볼릭 링크된/etc/pki/ovirt-engine/apache-ca.pem을 사용하도록 설정되어 있습니다. 심볼릭 링크를 제거합니다.# rm /etc/pki/ovirt-engine/apache-ca.pem
- 상용 발행된 인증서를
/etc/pki/ovirt-engine/apache-ca.pem으로 저장합니다. 인증서 체인은 root 인증서 까지 완료해야 합니다. 체인 순서는 중요하며 중간 인증서에서 root 인증서로 되어 있어야 합니다.mv YOUR-3RD-PARTY-CERT.pem /etc/pki/ovirt-engine/apache-ca.pem
- P12 번들을 백업한 다음
/etc/pki/ovirt-engine/keys/apache.p12로 이동합니다. - 번들에서 키를 추출합니다.
# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /etc/pki/ovirt-engine/keys/apache.key.nopass
- 번들에서 인증서를 추출합니다.
# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /etc/pki/ovirt-engine/certs/apache.cer
- Apache 서버를 다시 시작합니다.
# systemctl restart httpd.service
- 새로운 신뢰 저장소 설정 파일을 생성합니다.
# vi /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
다음 컨텐츠를 추가하고 파일을 저장합니다.ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts" ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
ovirt-engine서비스를 다시 시작합니다.systemctl restart ovirt-engine.service
이제 사용자가 HTTPS 트래픽을 암호화하는 데 사용되는 인증서의 인증에 대한 경고 없이 관리 포털 및 사용자 포털에 연결할 수 있습니다.
중요
인증서를 변경하면 https://access.redhat.com/solutions/458713에서 설명되어 있듯이 로그 수집기에서 오류가 발생할 수 있습니다. 이러한 오류가 발생하지 않게 하려면 로그 수집기의 설정을 다음과 같이 편집합니다:
- CA 서버에서 CA 인증서를 내보내기하여 Red Hat Virtualization Manager 서버에 복사합니다.
/etc/ovirt-engine/logcollector.conf에 다음 행을 추가하면 로그 수집기가 새 위치를 가리킵니다:cert-file=/path/to/new/CA/file
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.