관리 인터페이스 인증서를 구성합니다
-
이 문서 사이트의 PDF
- 어플라이언스 하드웨어를 설치하고 유지 관리합니다
별도의 PDF 문서 모음
Creating your file...
기본 관리 인터페이스 인증서를 단일 사용자 지정 인증서로 대체하면 보안 경고가 발생하지 않고 사용자가 Grid Manager 및 Tenant Manager에 액세스할 수 있습니다. 기본 관리 인터페이스 인증서로 되돌리거나 새 인증서를 생성할 수도 있습니다.
기본적으로 모든 관리 노드에는 그리드 CA에서 서명한 인증서가 발급됩니다. 이러한 CA 서명 인증서는 단일 공통 사용자 지정 관리 인터페이스 인증서 및 해당 개인 키로 대체할 수 있습니다.
모든 관리 노드에 하나의 사용자 지정 관리 인터페이스 인증서가 사용되므로 클라이언트가 Grid Manager 및 Tenant Manager에 연결할 때 호스트 이름을 확인해야 하는 경우 인증서를 와일드카드 또는 다중 도메인 인증서로 지정해야 합니다. 사용자 지정 인증서를 정의하여 그리드의 모든 관리 노드와 일치시킵니다.
서버에서 구성을 완료해야 하며 사용 중인 루트 인증 기관(CA)에 따라 사용자가 그리드 관리자 및 테넌트 관리자에 액세스하는 데 사용할 웹 브라우저에 그리드 CA 인증서를 설치해야 할 수도 있습니다.
실패한 서버 인증서로 인해 작업이 중단되지 않도록 하려면 이 서버 인증서가 곧 만료될 때 * Management Interface * 용 서버 인증서 만료 알림이 트리거됩니다. 필요에 따라 * 구성 * > * 보안 * > * 인증서 * 를 선택하고 글로벌 탭에서 관리 인터페이스 인증서의 만료 날짜를 보면 현재 인증서가 만료되는 시점을 확인할 수 있습니다. |
IP 주소 대신 도메인 이름을 사용하여 Grid Manager 또는 Tenant Manager에 액세스하는 경우, 다음 중 하나가 발생할 경우 브라우저에 인증서 오류가 표시되지 않고 무시하도록 옵션이 표시되지 않습니다.
|
사용자 지정 관리 인터페이스 인증서를 추가합니다
사용자 지정 관리 인터페이스 인증서를 추가하려면 고유한 인증서를 제공하거나 Grid Manager를 사용하여 인증서를 생성할 수 있습니다.
-
구성 * > * 보안 * > * 인증서 * 를 선택합니다.
-
글로벌 * 탭에서 * 관리 인터페이스 인증서 * 를 선택합니다.
-
사용자 정의 인증서 사용 * 을 선택합니다.
-
인증서를 업로드하거나 생성합니다.
인증서를 업로드합니다필요한 서버 인증서 파일을 업로드합니다.
-
인증서 업로드 * 를 선택합니다.
-
필요한 서버 인증서 파일을 업로드합니다.
-
* 서버 인증서 *: 사용자 정의 서버 인증서 파일(PEM 인코딩).
-
* 인증서 개인 키 *: 사용자 지정 서버 인증서 개인 키 파일('.key')입니다.
EC 개인 키는 224비트 이상이어야 합니다. RSA 개인 키는 2048비트 이상이어야 합니다. -
* CA 번들 *: 각 중간 발급 CA(인증 기관)의 인증서를 포함하는 단일 선택적 파일입니다. 파일에는 인증서 체인 순서에 연결된 PEM 인코딩된 CA 인증서 파일이 각각 포함되어야 합니다.
-
-
업로드한 각 인증서의 메타데이터를 보려면 * 인증서 세부 정보 * 를 확장합니다. 선택적 CA 번들을 업로드한 경우 각 인증서는 자체 탭에 표시됩니다.
-
인증서 파일을 저장하려면 * 인증서 다운로드 * 를 선택하고 인증서 번들을 저장하려면 * CA 번들 다운로드 * 를 선택합니다.
인증서 파일 이름 및 다운로드 위치를 지정합니다. 확장자가 '.pem'인 파일을 저장합니다.
예를 들어, 'toragegrid_certificate.pem'
-
다른 곳에 붙여넣을 인증서 내용을 복사하려면 * 인증서 PEM * 복사 또는 * CA 번들 PEM * 복사 를 선택합니다.
-
-
저장 * 을 선택합니다. + 사용자 지정 관리 인터페이스 인증서는 Grid Manager, Tenant Manager, Grid Manager API 또는 Tenant Manager API에 대한 이후의 모든 새 연결에 사용됩니다.
인증서를 생성합니다서버 인증서 파일을 생성합니다.
프로덕션 환경의 모범 사례는 외부 인증 기관에서 서명한 사용자 지정 관리 인터페이스 인증서를 사용하는 것입니다. -
인증서 생성 * 을 선택합니다.
-
인증서 정보를 지정합니다.
-
* 도메인 이름 *: 인증서에 포함할 하나 이상의 정규화된 도메인 이름입니다. 여러 도메인 이름을 나타내는 와일드카드로 * 를 사용합니다.
-
* IP *: 인증서에 포함할 하나 이상의 IP 주소입니다.
-
* subject *: X.509 주체 또는 인증서 소유자의 고유 이름(DN)
-
* 일 유효 *: 인증서 만료 후 일 수입니다.
-
-
Generate * 를 선택합니다.
-
생성된 인증서의 메타데이터를 보려면 * 인증서 세부 정보 * 를 선택합니다.
-
인증서 파일을 저장하려면 * 인증서 다운로드 * 를 선택합니다.
인증서 파일 이름 및 다운로드 위치를 지정합니다. 확장자가 '.pem'인 파일을 저장합니다.
예를 들어, 'toragegrid_certificate.pem'
-
다른 곳에 붙여넣을 인증서 내용을 복사하려면 * 인증서 PEM * 복사 를 선택합니다.
-
-
저장 * 을 선택합니다. + 사용자 지정 관리 인터페이스 인증서는 Grid Manager, Tenant Manager, Grid Manager API 또는 Tenant Manager API에 대한 이후의 모든 새 연결에 사용됩니다.
-
-
페이지를 새로 고쳐 웹 브라우저가 업데이트되도록 합니다.
새 인증서를 업로드하거나 생성한 후에는 관련 인증서 만료 알림을 지울 수 있도록 최대 하루 동안 기다립니다. -
사용자 지정 관리 인터페이스 인증서를 추가하면 관리 인터페이스 인증서 페이지에 사용 중인 인증서에 대한 자세한 인증서 정보가 표시됩니다. + 필요에 따라 인증서 PEM을 다운로드하거나 복사할 수 있습니다.
기본 관리 인터페이스 인증서를 복원합니다
Grid Manager 및 Tenant Manager 연결에 기본 관리 인터페이스 인증서를 사용하도록 되돌릴 수 있습니다.
-
구성 * > * 보안 * > * 인증서 * 를 선택합니다.
-
글로벌 * 탭에서 * 관리 인터페이스 인증서 * 를 선택합니다.
-
기본 인증서 사용 * 을 선택합니다.
기본 관리 인터페이스 인증서를 복원하면 구성한 사용자 지정 서버 인증서 파일이 삭제되고 시스템에서 복구할 수 없습니다. 이후의 모든 새 클라이언트 연결에 기본 관리 인터페이스 인증서가 사용됩니다.
-
페이지를 새로 고쳐 웹 브라우저가 업데이트되도록 합니다.
스크립트를 사용하여 자체 서명된 새 관리 인터페이스 인증서를 생성합니다
엄격한 호스트 이름 확인이 필요한 경우 스크립트를 사용하여 관리 인터페이스 인증서를 생성할 수 있습니다.
-
특정 액세스 권한이 있습니다.
-
"passwords.txt" 파일이 있습니다.
프로덕션 환경의 모범 사례는 외부 인증 기관에서 서명한 인증서를 사용하는 것입니다.
-
각 관리 노드의 FQDN(정규화된 도메인 이름)을 얻습니다.
-
기본 관리자 노드에 로그인합니다.
-
'ssh admin@primary_Admin_Node_IP' 명령어를 입력한다
-
"passwords.txt" 파일에 나열된 암호를 입력합니다.
-
루트로 전환하려면 다음 명령을 입력합니다
-
"passwords.txt" 파일에 나열된 암호를 입력합니다.
루트로 로그인하면 프롬프트가 '$'에서 '#'로 바뀝니다.
-
-
자체 서명된 새 인증서를 사용하여 StorageGRID를 구성합니다.
'$sudo make-certificate—domain_wildcard-admin-node-FQDN_—type management'
-
'- 도메인'의 경우 와일드카드를 사용하여 모든 관리 노드의 정규화된 도메인 이름을 나타냅니다. 예를 들어, '* .ui.storagegrid.example.com'은 ' admin1.ui.storagegrid.example.com ' 및 ' admin2.ui.storagegrid.example.com ' 을 나타내는 * 와일드카드를 사용합니다.
-
그리드 관리자 및 테넌트 관리자가 사용하는 관리 인터페이스 인증서를 구성하려면 '--type'을 '관리'로 설정합니다.
-
기본적으로 생성된 인증서는 1년(365일) 동안 유효하며 만료되기 전에 다시 만들어야 합니다. '--days' 인수를 사용하여 기본 유효 기간을 재정의할 수 있습니다.
인증서의 유효 기간은 make-certificate를 실행하면 시작됩니다. 관리 클라이언트가 StorageGRID와 동일한 시간 소스와 동기화되어 있는지 확인해야 합니다. 그렇지 않으면 클라이언트가 인증서를 거부할 수 있습니다. $ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 720
결과 출력에는 관리 API 클라이언트에 필요한 공용 인증서가 포함됩니다.
-
-
인증서를 선택하고 복사합니다.
선택 항목에 BEGIN 및 END 태그를 포함합니다.
-
명령 셸에서 로그아웃합니다. '$exit'
-
인증서가 구성되었는지 확인합니다.
-
그리드 관리자에 액세스합니다.
-
구성 * > * 보안 * > * 인증서 * 를 선택합니다
-
글로벌 * 탭에서 * 관리 인터페이스 인증서 * 를 선택합니다.
-
-
복사한 공용 인증서를 사용하도록 관리 클라이언트를 구성합니다. BEGIN 및 END Tags를 포함합니다.
관리 인터페이스 인증서를 다운로드하거나 복사합니다
다른 곳에서 사용할 관리 인터페이스 인증서 내용을 저장하거나 복사할 수 있습니다.
-
구성 * > * 보안 * > * 인증서 * 를 선택합니다.
-
글로벌 * 탭에서 * 관리 인터페이스 인증서 * 를 선택합니다.
-
서버 * 또는 * CA 번들 * 탭을 선택한 다음 인증서를 다운로드하거나 복사합니다.
인증서 파일 또는 CA 번들을 다운로드합니다인증서 또는 CA 번들 '.pem' 파일을 다운로드합니다. 선택적 CA 번들을 사용하는 경우 번들의 각 인증서가 자체 하위 탭에 표시됩니다.
-
인증서 다운로드 * 또는 * CA 번들 다운로드 * 를 선택합니다.
CA 번들을 다운로드하는 경우 CA 번들 보조 탭의 모든 인증서가 단일 파일로 다운로드됩니다.
-
인증서 파일 이름 및 다운로드 위치를 지정합니다. 확장자가 '.pem'인 파일을 저장합니다.
예를 들어, 'toragegrid_certificate.pem'
인증서 또는 CA 번들 PEM을 복사합니다인증서 텍스트를 복사하여 다른 곳에 붙여 넣습니다. 선택적 CA 번들을 사용하는 경우 번들의 각 인증서가 자체 하위 탭에 표시됩니다.
-
Copy certificate pem * 또는 * Copy CA bundle pem * 을 선택합니다.
CA 번들을 복사하는 경우 CA 번들 보조 탭의 모든 인증서가 함께 복사됩니다.
-
복사한 인증서를 텍스트 편집기에 붙여 넣습니다.
-
텍스트 파일을 확장자 '.pem'으로 저장합니다.
예를 들어, 'toragegrid_certificate.pem'
-