부록 E. Red Hat Virtualization 및 암호화된 통신

E.1. Red Hat Virtualization Manager CA 인증서 교체

조직의 타사 CA 인증서를 구성하여 HTTPS를 통해 Red Hat Virtualization Manager에 연결하는 사용자를 인증할 수 있습니다.

타사 CA 인증서는 Manager와 호스트 간의 인증 또는 디스크 전송 URL 에 사용되지 않습니다. 이러한 HTTPS 연결은 Manager에서 생성한 자체 서명 인증서를 사용합니다.

중요

사용자 정의 HTTPS 인증서로 전환할 때 자체 CA 인증서 배포를 사용하여 클라이언트에서 인증서를 사용할 수 있도록 해야 합니다.

Red Hat Satellite와 통합하는 경우 올바른 인증서를 Satellite로 수동으로 가져와야 합니다.

P12 파일에서 CA에서 개인 키 및 인증서를 받은 경우 다음 절차를 사용하여 추출합니다. 다른 파일 형식은 CA에 문의하십시오. 개인 키와 인증서를 추출한 후 Red Hat Virtualization Manager Apache CA 인증서 교체를 진행합니다.

E.1.1. P12 번들에서 인증서 및 개인 키 추출

내부 CA는 내부적으로 생성된 키와 인증서를 P12 파일인 /etc/pki/ovirt-engine/keys/apache.p12 에 저장합니다. 새 파일을 동일한 위치에 저장합니다. 다음 절차에서는 새 P12 파일이 /tmp/apache.p12 에 있다고 가정합니다.

주의

/etc/pki 디렉토리 또는 하위 디렉토리에 대한 권한 및 소유권은 변경하지 마십시오. /etc/pki 및 /etc/pki /ovirt-engine 디렉토리에 대한 권한은 기본값인 755 로 유지되어야 합니다.

절차

  1. 현재 apache.p12 파일을 백업하십시오.

    # cp -p /etc/pki/ovirt-engine/keys/apache.p12 /etc/pki/ovirt-engine/keys/apache.p12.bck
  2. 현재 파일을 새 파일로 바꿉니다.

    # cp /tmp/apache.p12 /etc/pki/ovirt-engine/keys/apache.p12
  3. 개인 키와 인증서를 필요한 위치에 추출합니다.

    # openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /tmp/apache.key
    # openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /tmp/apache.cer

    파일이 암호로 보호되는 경우 명령에 -passin pass:암호를 추가하고 암호를 필요한 암호로 바꿉니다.

중요

새로운 Red Hat Virtualization 설치의 경우 이 절차의 모든 단계를 완료해야 합니다.

E.1.2. Red Hat Virtualization Manager Apache CA 인증서 교체

조직의 타사 CA 인증서를 구성하여 사용자가 관리 포털과 HTTPS를 통해 VM 포털에 연결하는 사용자를 인증합니다.

주의

/etc/pki 디렉토리 또는 하위 디렉토리에 대한 권한 및 소유권은 변경하지 마십시오. /etc/pki 및 /etc/pki /ovirt-engine 디렉토리에 대한 권한은 기본값인 755 로 유지되어야 합니다.

사전 요구 사항

  • 타사 CA(인증 기관) 인증서. PEM 파일로 제공됩니다. 인증서 체인을 루트 인증서까지 완료해야 합니다. 체인의 순서는 매우 중요하며 마지막 중간 인증서부터 루트 인증서까지이어야 합니다. 이 절차에서는 타사 CA 인증서가 /tmp/3rd-ca-cert.pem 에 제공된 것으로 가정합니다.
  • Apache httpd에 사용하려는 개인 키입니다. 암호가 없어야 합니다. 이 절차에서는 해당 파일이 /tmp/apache.key 에 있다고 가정합니다.
  • CA에서 발급한 인증서입니다. 이 절차에서는 해당 파일이 /tmp/apache.cer 에 있다고 가정합니다.

절차

  1. 셀프 호스트 엔진을 사용하는 경우 환경을 전역 유지 관리 모드로 설정합니다.

    # hosted-engine --set-maintenance --mode=global

    자세한 내용은 셀프 호스트 엔진 유지 관리를 참조하십시오.

  2. 호스트 전체 신뢰 저장소에 CA 인증서를 추가합니다.

    # cp /tmp/3rd-party-ca-cert.pem /etc/pki/ca-trust/source/anchors
    # update-ca-trust
  3. Manager는 /etc/pki/ovirt-engine/apache-ca.pem 을 사용하도록 구성되었으며, 이 기능은 /etc/pki/ovirt-engine/ca.pem 에 심볼릭으로 연결됩니다. 심볼릭 링크를 제거합니다.

    # rm /etc/pki/ovirt-engine/apache-ca.pem
  4. CA 인증서를 /etc/pki/ovirt-engine/apache-ca.pem으로 저장합니다.

    # cp /tmp/3rd-party-ca-cert.pem /etc/pki/ovirt-engine/apache-ca.pem
  5. 기존 개인 키 및 인증서를 백업합니다.

    # cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.bck
    # cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.bck
  6. 개인 키를 필요한 위치에 복사합니다.

    # cp /tmp/apache.key /etc/pki/ovirt-engine/keys/apache.key.nopass
  7. 개인 키 소유자를 root로 설정하고 권한을 0640으로 설정합니다.

    # chown root:ovirt  /etc/pki/ovirt-engine/keys/apache.key.nopass
    # chmod 640 /etc/pki/ovirt-engine/keys/apache.key.nopass
  8. 필요한 위치에 인증서를 복사합니다.

    # cp /tmp/apache.cer /etc/pki/ovirt-engine/certs/apache.cer
  9. 인증서 소유자를 root로 설정하고 권한을 0644로 설정합니다.

    # chown root:ovirt /etc/pki/ovirt-engine/certs/apache.cer
    # chmod 644 /etc/pki/ovirt-engine/certs/apache.cer
  10. Apache 서버를 다시 시작하십시오.

    # systemctl restart httpd.service
  11. 다음 매개 변수를 사용하여 새 신뢰 저장소 구성 파일 /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf 를 생성합니다.

    ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
    ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
  12. /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf 파일을 복사하고 10보다 큰 인덱스 번호로 이름을 바꿉니다(예: 99-setup.conf). 새 파일에 다음 매개변수를 추가합니다.

    SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
    SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
  13. websocket-proxy 서비스를 다시 시작합니다.

    # systemctl restart ovirt-websocket-proxy.service
  14. /etc/ovirt-provider-ovn/conf.d/10-setup-ovirt-provider-ovn.conf 파일을 수동으로 변경하거나 이전 설치의 구성 파일을 사용하는 경우 Manager가 계속 /etc/pki/ovirt-engine/apache-ca.pem 을 인증서 소스로 사용하도록 구성되었는지 확인합니다.
  15. /etc/ovirt-engine-backup/engine-backup-config.d 디렉토리를 만듭니다.

    # mkdir -p /etc/ovirt-engine-backup/engine-backup-config.d
  16. 다음 콘텐츠를 사용하여 /etc/ovirt-engine-backup/engine-backup-config.d/update-system-wide-pki.sh 파일을 만듭니다. 이를 통해 ovirt-engine-backup 은 복원 시 시스템을 자동으로 업데이트할 수 있습니다.

    BACKUP_PATHS="${BACKUP_PATHS}
    /etc/ovirt-engine-backup"
    cp -f /etc/pki/ovirt-engine/apache-ca.pem \
      /etc/pki/ca-trust/source/anchors/3rd-party-ca-cert.pem
    update-ca-trust
  17. ovirt-provider-ovn 서비스를 다시 시작합니다.

    # systemctl restart ovirt-provider-ovn.service
  18. ovirt-imageio 서비스를 다시 시작하십시오.

    # systemctl restart ovirt-imageio.service
  19. ovirt-engine 서비스를 다시 시작하십시오.

    # systemctl restart ovirt-engine.service
  20. 자체 호스팅 엔진을 사용하는 경우 글로벌 유지 관리 모드를 비활성화합니다.

    # hosted-engine --set-maintenance --mode=none

이제 사용자가 인증서 경고가 표시되지 않고 관리 포털 및 VM 포털에 연결할 수 있습니다.