Show Table of Contents
부록 D. Red Hat Virtualization 및 SSL
D.1. Red Hat Virtualization Manager SSL 인증서 변경
주의
/etc/pki
디렉토리 또는 서브 디렉토리의 권한 및 소유권을 변경하지 않습니다. /etc/pki
및 /etc/pki/ovirt-engine
디렉토리의 권한은 기본 755를 유지해야 합니다. 조직의 상용 서명 인증서를 사용하여 HTTPS를 통해 연결하는 사용자에게 Red Hat Virtualization Manager를 식별하게 할 수 있습니다.
참고
상용 발행된 https 연결 용 인증서를 사용하는 것은 Manager와 호스트 간의 인증에 사용되는 인증서에 영향을 주지 않고 Manager에 의해 생성된 자체 서명된 인증서를 계속 사용합니다.
전제 조건
이 절차에서는 상용 인증서 발급 기관에서의 PEM 형식 인증서인 .nokey 파일 및 .cer 파일이 필요합니다. .nokey 및 .cer 파일은 P12 형식의 인증키 번들로 배포됩니다. 이 절차에서는 P12 형식의 인증키 번들이 있다는 것을 전제로 합니다.
절차 D.1. Red Hat Virtualization Manager Apache SSL 인증서 교체
- Manager는
/etc/pki/ovirt-engine/ca.pem
에 심볼릭 링크된/etc/pki/ovirt-engine/apache-ca.pem
을 사용하도록 설정되어 있습니다. 심볼릭 링크를 제거합니다.# rm /etc/pki/ovirt-engine/apache-ca.pem
- 상용 발행된 인증서를
/etc/pki/ovirt-engine/apache-ca.pem
으로 저장합니다. 인증서 체인은 root 인증서 까지 완료해야 합니다. 체인 순서는 중요하며 중간 인증서에서 root 인증서로 되어 있어야 합니다.mv YOUR-3RD-PARTY-CERT.pem /etc/pki/ovirt-engine/apache-ca.pem
- P12 번들을
/etc/pki/ovirt-engine/keys/apache.p12
로 이동합니다. - 번들에서 키를 추출합니다.
# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /etc/pki/ovirt-engine/keys/apache.key.nopass
- 번들에서 인증서를 추출합니다.
# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /etc/pki/ovirt-engine/certs/apache.cer
- Apache 서버를 다시 시작합니다.
# service httpd restart
https 트래픽을 암호화하는데 사용되는 인증서의 신뢰성에 대한 경고없이 사용자는 포털에 접속할 수 있습니다.
중요
인증서를 변경하면 https://access.redhat.com/solutions/458713에서 설명되어 있듯이 로그 수집기에서 오류가 발생할 수 있습니다. 이러한 오류가 발생하지 않게 하려면 로그 수집기의 설정을 다음과 같이 편집합니다:
- CA 서버에서 CA 인증서를 내보내기하여 Red Hat Virtualization Manager 서버에 복사합니다.
/etc/ovirt-engine/logcollector.conf
에 다음 행을 추가하면 로그 수집기가 새 위치를 가리킵니다:cert-file=/path/to/new/CA/file
Comments