Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

관리 인터페이스에 대해 자체 서명된 서버 인증서를 생성하는 중입니다

기여자
PDF

스크립트를 사용하여 엄격한 호스트 이름 확인이 필요한 관리 API 클라이언트용 자체 서명된 서버 인증서를 생성할 수 있습니다.

필요한 것

  • 특정 액세스 권한이 있어야 합니다.

  • 에 가 있어야 합니다 Passwords.txt 파일.

이 작업에 대해

프로덕션 환경에서는 알려진 CA(인증 기관)에서 서명한 인증서를 사용해야 합니다. CA에서 서명한 인증서는 중단 없이 회전할 수 있습니다. 또한 중간자 공격에 대한 보호 기능이 강화되어 보안이 더욱 강화되고 있습니다.

단계

  1. 각 관리 노드의 FQDN(정규화된 도메인 이름)을 얻습니다.

  2. 기본 관리자 노드에 로그인합니다.

    1. 다음 명령을 입력합니다. ssh admin@primary_Admin_Node_IP

    2. 에 나열된 암호를 입력합니다 Passwords.txt 파일.

    3. 루트로 전환하려면 다음 명령을 입력합니다. su -

    4. 에 나열된 암호를 입력합니다 Passwords.txt 파일.

      루트로 로그인하면 프롬프트가 에서 변경됩니다 $ 를 선택합니다 #.

  3. 자체 서명된 새 인증서를 사용하여 StorageGRID를 구성합니다.

    $ sudo make-certificate --domains wildcard-admin-node-fqdn --type management

    • --domains`에서 와일드카드를 사용하여 모든 관리 노드의 정규화된 도메인 이름을 나타냅니다. 예를 들면, 다음과 같습니다. `*.ui.storagegrid.example.com 와일드카드를 사용하여 나타냅니다 admin1.ui.storagegrid.example.comadmin2.ui.storagegrid.example.com.

    • 설정 --type 를 선택합니다 management Grid Manager 및 Tenant Manager에서 사용하는 인증서를 구성합니다.

    • 기본적으로 생성된 인증서는 1년(365일) 동안 유효하며 만료되기 전에 다시 만들어야 합니다. 를 사용할 수 있습니다 --days 기본 유효 기간을 재정의하는 인수입니다.

      참고 인증서의 유효 기간은 언제 시작됩니다 make-certificate 가 실행됩니다. 관리 API 클라이언트가 StorageGRID와 동일한 시간 소스와 동기화되어 있는지 확인해야 합니다. 그렇지 않으면 클라이언트가 인증서를 거부할 수 있습니다. 
      $ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 365

      결과 출력에는 관리 API 클라이언트에 필요한 공용 인증서가 포함됩니다.

  4. 인증서를 선택하고 복사합니다.

    선택 항목에 BEGIN 및 END 태그를 포함합니다.

  5. 명령 셸에서 로그아웃합니다. $ exit

  6. 인증서가 구성되었는지 확인합니다.

    1. 그리드 관리자에 액세스합니다.

    2. 구성 * * 서버 인증서 * 관리 인터페이스 서버 인증서 * 를 선택합니다.

  7. 복사한 공용 인증서를 사용하도록 관리 API 클라이언트를 구성합니다. BEGIN 및 END Tags를 포함합니다.