Skip to main content
E-Series Systems
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

웹 서비스 프록시에서 보안 및 인증서를 관리합니다

기여자
PDF

웹 서비스 프록시에서 보안을 위해 SSL 포트 지정을 지정하고 인증서를 관리할 수 있습니다. 인증서는 클라이언트와 서버 간의 보안 연결을 위해 웹 사이트 소유자를 식별합니다.

SSL을 활성화합니다

웹 서비스 프록시는 보안을 위해 SSL(Secure Sockets Layer)을 사용하며, 이 보안 계층은 설치 중에 활성화됩니다. wsconfig.xml 파일에서 SSL 포트 지정을 변경할 수 있습니다.

단계

  1. 다음 위치에 있는 wsconfig.xml 파일을 엽니다.

    • (Windows) — C:\Program Files\NetApp\SANtricity Web Services Proxy

    • (Linux) --/opt/NetApp/SANtricity_web_services_proxy

  2. 다음 예제와 같이 SSL 포트 번호를 추가하거나 변경합니다.

    <sslport clientauth="request">8443</sslport>
결과

SSL이 구성된 상태로 서버를 시작하면 서버는 키 저장소 및 신뢰 저장소 파일을 찾습니다.

  • 서버가 키 저장소를 찾지 못할 경우 서버는 첫 번째로 검색된 비루프백 IPv4 주소의 IP 주소를 사용하여 키 저장소를 생성한 다음 자체 서명된 인증서를 키 저장소에 추가합니다.

  • 서버에서 truststore를 찾지 못했거나 truststore를 지정하지 않은 경우 서버는 키 저장소를 truststore로 사용합니다.

인증서 확인을 건너뜁니다

보안 연결을 지원하기 위해 웹 서비스 프록시는 자체 신뢰할 수 있는 인증서에 대해 스토리지 시스템 인증서를 검증합니다. 필요한 경우 스토리지 시스템에 접속하기 전에 프록시에서 해당 확인을 바이패스하도록 지정할 수 있습니다.

시작하기 전에

  • 모든 스토리지 시스템 접속이 안전해야 합니다.

단계

  1. 다음 위치에 있는 wsconfig.xml 파일을 엽니다.

    • (Windows) — C:\Program Files\NetApp\SANtricity Web Services Proxy

    • (Linux) --/opt/NetApp/SANtricity_web_services_proxy

  2. 다음 예와 같이 trust.all.arrays 항목에 true를 입력합니다.

    <env key="trust.all.arrays">true</env>

  3. 파일을 저장합니다.

호스트 관리 인증서를 생성하고 가져옵니다

인증서는 클라이언트와 서버 간의 보안 연결을 위해 웹 사이트 소유자를 식별합니다. 웹 서비스 프록시가 설치된 호스트 시스템에 대한 CA(인증 기관) 인증서를 생성하고 가져오려면 API 끝점을 사용합니다.

호스트 시스템의 인증서를 관리하려면 API를 사용하여 다음 작업을 수행합니다.

  • 호스트 시스템에 대한 인증서 서명 요청(CSR)을 생성합니다.

  • CSR 파일을 CA로 보낸 다음 인증서 파일을 보낼 때까지 기다립니다.

  • 서명된 인증서를 호스트 시스템으로 가져옵니다.

참고 Unified Manager 인터페이스에서 인증서를 관리할 수도 있습니다. 자세한 내용은 Unified Manager에서 제공되는 온라인 도움말을 참조하십시오.
단계

  1. 에 로그인합니다 "대화형 API 설명서".

  2. 오른쪽 상단의 드롭다운 메뉴로 이동한 다음 * v2 * 를 선택합니다.

  3. Administration * 링크를 확장하고 * /certificates * 엔드포인트로 스크롤합니다.

  4. CSR 파일 생성:

    1. POST:/certificates * 를 선택한 다음 * try it out * 을 선택합니다.

      웹 서버가 자체 서명된 인증서를 재생성합니다. 그런 다음 필드에 정보를 입력하여 공통 이름, 조직, 조직 단위, 대체 ID 및 CSR 생성에 사용되는 기타 정보를 정의할 수 있습니다.

    2. 예제 값* 창에 필요한 정보를 추가하여 유효한 CA 인증서를 생성한 다음 명령을 실행합니다.

      참고 POST:/certificates * 또는 * POST:/certificates/reset * 을 다시 호출하지 마십시오. 또는 CSR을 다시 생성해야 합니다. POST:/certificates * 또는 * POST:/certificates/reset * 를 호출하면 새 개인 키로 자체 서명된 새 인증서가 생성됩니다. 서버에서 개인 키를 마지막으로 다시 설정하기 전에 생성된 CSR을 보내면 새 보안 인증서가 작동하지 않습니다. 새 CSR을 생성하고 새 CA 인증서를 요청해야 합니다.

    3. get:/certificates/server* 끝점을 실행하여 현재 인증서 상태가 POST:/certificates 명령에서 추가된 정보와 함께 자체 서명된 인증서인지 확인합니다.

      서버 인증서(별칭으로 "jetty"로 표시됨)는 현재 자체 서명되어 있습니다.

    4. POST:/certificates/export * 끝점을 확장하고 * try it * 를 선택한 다음 CSR 파일의 파일 이름을 입력하고 * Execute * 를 클릭합니다.

  5. fileUrl을 복사하여 새 브라우저 탭에 붙여 넣어 CSR 파일을 다운로드한 다음 유효한 CA로 보내 새 웹 서버 인증서 체인을 요청합니다.

  6. CA에서 새 인증서 체인을 발급하는 경우 인증서 관리자 도구를 사용하여 루트, 중간 및 웹 서버 인증서를 분리한 다음 웹 서비스 프록시 서버로 가져옵니다.

    1. POST:/sslconfig/server * 끝점을 확장하고 * try it out * 을 선택합니다.

    2. alias * 필드에 CA 루트 인증서 이름을 입력합니다.

    3. 치환 MainServerCertificate* 필드에서 * false * 를 선택합니다.

    4. 새 CA 루트 인증서를 찾아 선택합니다.

    5. Execute * 를 클릭합니다.

    6. 인증서 업로드에 성공했는지 확인합니다.

    7. CA 중간 인증서에 대해 CA 인증서 업로드 절차를 반복합니다.

    8. 새 웹 서버 보안 인증서 파일에 대해 인증서 업로드 절차를 반복합니다. 이 단계를 제외하고, * 치환 MainServerCertificate * 드롭다운에서 * true * 를 선택합니다.

    9. 웹 서버 보안 인증서 가져오기가 성공했는지 확인합니다.

    10. 키 저장소에서 새 루트, 중간 및 웹 서버 인증서를 사용할 수 있는지 확인하려면 * get:/certificates/server * 를 실행합니다.

  7. POST:/certificates/reload * 엔드포인트를 선택하여 확장한 다음 * try it out * 을 선택합니다. 두 컨트롤러를 모두 재시작할지 묻는 메시지가 나타나면 * false * 를 선택합니다. ("참"은 이중 어레이 컨트롤러의 경우에만 적용됩니다.) Execute * 를 클릭합니다.

    /certificates/reload* 끝점은 대개 성공적인 http 202 응답을 반환합니다. 그러나 웹 서버 truststore 및 keystore 인증서를 다시 로드하면 API 프로세스와 웹 서버 인증서 다시 로드 프로세스 간에 경쟁 조건이 생성됩니다. 드물지만 웹 서버 인증서를 다시 로드하면 API 처리 성능을 능가할 수 있습니다. 이 경우 성공적으로 완료되었더라도 다시 로드가 실패한 것으로 나타납니다. 이 경우 다음 단계를 계속 진행하십시오. 다시 로드가 실제로 실패한 경우 다음 단계도 실패합니다.

  8. 웹 서비스 프록시에 대한 현재 브라우저 세션을 닫고 새 브라우저 세션을 연 다음 웹 서비스 프록시에 대한 새로운 보안 브라우저 연결을 설정할 수 있는지 확인합니다.

    익명 또는 개인 탐색 세션을 사용하면 이전 탐색 세션에서 저장된 데이터를 사용하지 않고 서버에 대한 연결을 열 수 있습니다.