2.7 암호화된 통신

HTTPS를 통해 연결한 사용자에 대해 Oracle Linux Virtualization Manager를 식별하도록 조직의 타사 CA 인증서를 구성할 수 있습니다.

HTTPS 연결에 타사 CA 인증서를 사용하면 엔진 호스트와 KVM 호스트 간 인증에 사용되는 인증서가 영향을 받지 않습니다. Manager가 생성한 자체 서명된 인증서가 계속 사용됩니다.

2.7.1 Oracle Linux Virtualization Manager Apache SSL 인증서 바꾸기

시작하기 전에 CA(인증 기관)에서 발행한 디지털 인증서인 타사 CA 인증서를 얻어야 합니다. 인증서는 PEM 파일로 제공됩니다. 루트 인증서까지 인증서 체인을 완료해야 합니다. 체인의 순서가 중요하며 마지막 중간 인증서부터 루트 인증서까지여야 합니다.

주의

/etc/pki 디렉토리 또는 하위 디렉토리에 대한 권한과 소유권은 변경하지 마십시오. /etc/pki/etc/pki/ovirt-engine 디렉토리에 대한 권한은 기본값인 755로 유지되어야 합니다.

Oracle Linux Virtualization Manager Apache SSL 인증서를 바꾸려면 다음과 같이 하십시오.

  1. 새 타사 CA 인증서를 호스트 차원의 신뢰 저장소에 복사하고 신뢰 저장소를 업데이트합니다. 

    # cp third-party-ca-cert.pem /etc/pki/ca-trust/source/anchors/ 
# update-ca-trust export

  2. /etc/pki/ovirt-engine/apache-ca.pem에 대한 심볼릭 링크를 제거합니다.

    /etc/pki/ovirt-engine/ca.pem에 심볼릭 링크된 /etc/pki/ovirt-engine/apache-ca.pem을 사용하도록 엔진이 구성되었습니다. 

    # rm /etc/pki/ovirt-engine/apache-ca.pem

  3. Manager에 대한 PKI 디렉토리에 CA 인증서를 복사합니다. 

    cp third-party-ca-cert.pem /etc/pki/ovirt-engine/apache-ca.pem

  4. 기존 개인 키 및 인증서를 백업합니다. 

    # cp /etc/pki/ovirt-engine/keys/apache.key.nopass \ 
/etc/pki/ovirt-engine/keys/apache.key.nopass.bck 
# cp /etc/pki/ovirt-engine/certs/apache.cer \
 /etc/pki/ovirt-engine/certs/apache.cer.bck

  5. 다음 명령을 입력하고 프롬프트에 응답하여 Manager에 대한 PKI 디렉토리에 새 Apache 개인 키를 복사합니다. 

    # cp apache.key /etc/pki/ovirt-engine/keys/apache.key.nopass 
   cp: overwrite \u2018/etc/pki/ovirt-engine/keys/apache.key.nopass\u2019? y

  6. 다음 명령을 입력하고 프롬프트에 응답하여 Manager에 대한 PKI 디렉토리에 새 Apache 인증서를 복사합니다. 

    # cp apache.cer /etc/pki/ovirt-engine/certs/apache.cer 
   cp: overwrite \u2018/etc/pki/ovirt-engine/certs/apache.cer\u2019? y

  7. Apache HTTP 서버(httpd) 및 Manager를 다시 시작합니다. 

    # systemctl restart httpd
# systemctl restart ovirt-engine

  8. 다음 매개변수를 추가하여 /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf에서 새 신뢰 저장소 구성 파일을 만들거나 기존 신뢰 저장소 구성 파일을 편집합니다. 

    ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts" 
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

  9. 기존 Websocket 구성 파일을 백업합니다. 

    # cp /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf \
 /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf.bck

  10. 다음 매개변수를 추가하여 /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf에서 Websocket 구성 파일을 편집합니다. 

    SSL_CERTIFICATE=/etc/pki/ovirt-engine/apache.cer 
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

  11. ovirt-provider-ovn 서비스를 다시 시작합니다. 

    # systemctl restart ovirt-provider-ovn

  12. ovirt-engine 서비스를 다시 시작합니다. 

    # systemctl restart ovirt-engine

Copyright © 2020, Oracle and/or its affiliates. 법적공지