부록 E. Red Hat Virtualization 및 암호화된 통신
E.1. Red Hat Virtualization Manager CA 인증서 교체
조직의 타사 CA 인증서를 구성하여 HTTPS를 통해 Red Hat Virtualization Manager에 연결하는 사용자를 인증할 수 있습니다.
타사 CA 인증서는 Manager와 호스트 간의 인증 또는 디스크 전송 URL 에 사용되지 않습니다. 이러한 HTTPS 연결은 Manager에서 생성한 자체 서명 인증서를 사용합니다.
사용자 정의 HTTPS 인증서로 전환할 때 자체 CA 인증서 배포를 사용하여 클라이언트에서 인증서를 사용할 수 있도록 해야 합니다.
Red Hat Satellite와 통합하는 경우 올바른 인증서를 Satellite로 수동으로 가져와야 합니다.
P12 파일에서 CA에서 개인 키 및 인증서를 받은 경우 다음 절차를 사용하여 추출합니다. 다른 파일 형식은 CA에 문의하십시오. 개인 키와 인증서를 추출한 후 Red Hat Virtualization Manager Apache CA 인증서 교체를 진행합니다.
E.1.1. P12 번들에서 인증서 및 개인 키 추출
내부 CA는 내부적으로 생성된 키와 인증서를 P12 파일인 /etc/pki/ovirt-engine/keys/apache.p12
에 저장합니다. 새 파일을 동일한 위치에 저장합니다. 다음 절차에서는 새 P12 파일이 /tmp/apache.p12
에 있다고 가정합니다.
/etc/pki
디렉토리 또는 하위 디렉토리에 대한 권한 및 소유권은 변경하지 마십시오. /etc/pki 및 /etc/pki
/ovirt-engine
디렉토리에 대한 권한은 기본값인 755
로 유지되어야 합니다.
절차
현재
apache.p12
파일을 백업하십시오.# cp -p /etc/pki/ovirt-engine/keys/apache.p12 /etc/pki/ovirt-engine/keys/apache.p12.bck
현재 파일을 새 파일로 바꿉니다.
# cp /tmp/apache.p12 /etc/pki/ovirt-engine/keys/apache.p12
개인 키와 인증서를 필요한 위치에 추출합니다.
# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /tmp/apache.key # openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /tmp/apache.cer
파일이 암호로 보호되는 경우 명령에
-passin pass:암호를
추가하고 암호를 필요한 암호로 바꿉니다.
새로운 Red Hat Virtualization 설치의 경우 이 절차의 모든 단계를 완료해야 합니다.
E.1.2. Red Hat Virtualization Manager Apache CA 인증서 교체
조직의 타사 CA 인증서를 구성하여 사용자가 관리 포털과 HTTPS를 통해 VM 포털에 연결하는 사용자를 인증합니다.
/etc/pki
디렉토리 또는 하위 디렉토리에 대한 권한 및 소유권은 변경하지 마십시오. /etc/pki 및 /etc/pki
/ovirt-engine
디렉토리에 대한 권한은 기본값인 755
로 유지되어야 합니다.
사전 요구 사항
-
타사 CA(인증 기관) 인증서.
PEM
파일로 제공됩니다. 인증서 체인을 루트 인증서까지 완료해야 합니다. 체인의 순서는 매우 중요하며 마지막 중간 인증서부터 루트 인증서까지이어야 합니다. 이 절차에서는 타사 CA 인증서가/tmp/3rd-ca-cert.pem
에 제공된 것으로 가정합니다. -
Apache httpd에 사용하려는 개인 키입니다. 암호가 없어야 합니다. 이 절차에서는 해당 파일이
/tmp/apache.key
에 있다고 가정합니다. -
CA에서 발급한 인증서입니다. 이 절차에서는 해당 파일이
/tmp/apache.cer
에 있다고 가정합니다.
절차
셀프 호스트 엔진을 사용하는 경우 환경을 전역 유지 관리 모드로 설정합니다.
# hosted-engine --set-maintenance --mode=global
자세한 내용은 셀프 호스트 엔진 유지 관리를 참조하십시오.
호스트 전체 신뢰 저장소에 CA 인증서를 추가합니다.
# cp /tmp/3rd-party-ca-cert.pem /etc/pki/ca-trust/source/anchors # update-ca-trust
Manager는
/etc/pki/ovirt-engine/apache-ca.pem
을 사용하도록 구성되었으며, 이 기능은/etc/pki/ovirt-engine/ca.pem
에 심볼릭으로 연결됩니다. 심볼릭 링크를 제거합니다.# rm /etc/pki/ovirt-engine/apache-ca.pem
CA 인증서를
/etc/pki/ovirt-engine/apache-ca.pem으로 저장합니다.
# cp /tmp/3rd-party-ca-cert.pem /etc/pki/ovirt-engine/apache-ca.pem
기존 개인 키 및 인증서를 백업합니다.
# cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.bck # cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.bck
개인 키를 필요한 위치에 복사합니다.
# cp /tmp/apache.key /etc/pki/ovirt-engine/keys/apache.key.nopass
개인 키 소유자를 root로 설정하고 권한을
0640으로 설정합니다
.# chown root:ovirt /etc/pki/ovirt-engine/keys/apache.key.nopass # chmod 640 /etc/pki/ovirt-engine/keys/apache.key.nopass
필요한 위치에 인증서를 복사합니다.
# cp /tmp/apache.cer /etc/pki/ovirt-engine/certs/apache.cer
인증서 소유자를 root로 설정하고 권한을
0644로 설정합니다
.# chown root:ovirt /etc/pki/ovirt-engine/certs/apache.cer # chmod 644 /etc/pki/ovirt-engine/certs/apache.cer
Apache 서버를 다시 시작하십시오.
# systemctl restart httpd.service
다음 매개 변수를 사용하여 새 신뢰 저장소 구성 파일
/etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
를 생성합니다.ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts" ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
/etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf
파일을 복사하고 10보다 큰 인덱스 번호로 이름을 바꿉니다(예:99-setup.conf
). 새 파일에 다음 매개변수를 추가합니다.SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
websocket-proxy
서비스를 다시 시작합니다.# systemctl restart ovirt-websocket-proxy.service
-
/etc/ovirt-provider-ovn/conf.d/10-setup-ovirt-provider-ovn.conf
파일을 수동으로 변경하거나 이전 설치의 구성 파일을 사용하는 경우 Manager가 계속/etc/pki/ovirt-engine/apache-ca.pem
을 인증서 소스로 사용하도록 구성되었는지 확인합니다. /etc/ovirt-engine-backup/engine-backup-config.d
디렉토리를 만듭니다.# mkdir -p /etc/ovirt-engine-backup/engine-backup-config.d
다음 콘텐츠를 사용하여
/etc/ovirt-engine-backup/engine-backup-config.d/update-system-wide-pki.sh
파일을 만듭니다. 이를 통해ovirt-engine-backup
은 복원 시 시스템을 자동으로 업데이트할 수 있습니다.BACKUP_PATHS="${BACKUP_PATHS} /etc/ovirt-engine-backup" cp -f /etc/pki/ovirt-engine/apache-ca.pem \ /etc/pki/ca-trust/source/anchors/3rd-party-ca-cert.pem update-ca-trust
ovirt-provider-ovn
서비스를 다시 시작합니다.# systemctl restart ovirt-provider-ovn.service
ovirt-imageio
서비스를 다시 시작하십시오.# systemctl restart ovirt-imageio.service
ovirt-engine
서비스를 다시 시작하십시오.# systemctl restart ovirt-engine.service
자체 호스팅 엔진을 사용하는 경우 글로벌 유지 관리 모드를 비활성화합니다.
# hosted-engine --set-maintenance --mode=none
이제 사용자가 인증서 경고가 표시되지 않고 관리 포털 및 VM 포털에 연결할 수 있습니다.