Unified Access Gateway REST API를 사용하여 인증서 설정을 구성하거나 PowerShell 스크립트를 사용하려면 인증서 체인과 개인 키에 대해 인증서를 PEM 형식 파일로 변환해야 하며, 그 뒤에 .pem 파일을 줄바꿈 문자가 포함된 한 줄 형식으로 변환해야 합니다.

Unified Access Gateway를 구성할 때 변환해야 할 수 있는 인증서 유형에는 세 가지가 있습니다.

  • 항상 Unified Access Gateway 장치에 대해 TLS/SSL 서버 인증서를 설치 및 구성해야 합니다.

  • 스마트 카드 인증을 사용하려면 스마트 카드에 넣을 인증서에 대해 신뢰할 수 있는 CA 발급자 인증서를 설치 및 구성해야 합니다.

  • 스마트 카드 인증을 사용하려면 Unified Access Gateway 장치에 설치되는 SAML 서버 인증서의 서명 CA에 대해 루트 인증서를 설치 및 구성하는 것이 좋습니다.

이러한 모든 유형의 인증서에 대해 같은 절차를 수행하여 인증서를 인증서 체인이 포함된 PEM 형식 파일로 변환할 수 있습니다. TLS/SSL 서버 인증서 및 루트 인증서의 경우 각 파일을 개인 키가 포함된 PEM 파일로 변환할 수도 있습니다. 그 후에는 각 .pem 파일을 JSON 문자열로 Unified Access Gateway REST API에 전달할 수 있는 한 줄 형식으로 변환해야 합니다.

사전 요구 사항

  • 인증서 파일이 있는지 확인합니다. 파일은 PKCS#12(.p12 또는 .pfx) 형식이나 Java JKS 또는 JCEKS 형식으로 되어 있을 수 있습니다.

  • 인증서 변환에 사용할 openssl 명령줄 도구를 숙지합니다. https://www.openssl.org/docs/apps/openssl.html를 참조하십시오.

  • 인증서가 Java JKS 또는 JCEKS 형식으로 되어 있는 경우에는 Java keytool 명령줄 도구를 숙지하고 먼저 인증서를 .p12 또는 .pks 형식으로 변환한 후 .pem 파일로 변환합니다.

프로시저

  1. 인증서가 Java JKS 또는 JCEKS 형식으로 되어 있는 경우에는 keytool을 사용하여 인증서를 .p12 또는 .pks 형식으로 변환합니다.
    중요:

    이 변환을 수행하는 동안 같은 소스 및 대상 암호를 사용하십시오.

  2. 인증서가 PKCS#12(.p12 또는 .pfx) 형식이거나 인증서가 PKCS#12 형식으로 이미 변환된 경우에는 openssl을 사용하여 인증서를 .pem 파일로 변환합니다.

    예를 들어, 인증서의 이름이 mycaservercert.pfx인 경우에는 다음 명령을 사용하여 인증서를 변환합니다.

    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
  3. mycaservercert.pem을 편집하여 불필요한 인증서 항목을 모두 제거합니다. SSL 서버 인증서 하나를 포함하고 그 뒤에 필요한 중간 CA 인증서와 루트 CA 인증서를 포함해야 합니다.
  4. 다음 UNIX 명령을 사용하여 각 .pem 파일을 JSON 문자열로 Unified Access Gateway REST API에 전달할 수 있는 값으로 변환합니다.
    awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

    이 예에서 cert-name.pem은 인증서 파일의 이름입니다. 인증서는 이 예와 비슷합니다.

    그림 1. 한 줄 형식의 인증서 파일

    새로운 형식에서는 줄바꿈 문자를 포함하여 모든 인증서 정보를 한 줄에 넣습니다. 중간 인증서가 있는 경우에는 두 인증서가 같은 줄에 있도록 중간 인증서도 한 줄 형식이어야 하며, 첫 번째 인증서에 추가해야 합니다.

결과

이제 https://communities.vmware.com/docs/DOC-30835에 있는 블로그 게시물 "Using PowerShell to Deploy VMware Unified Access Gateway"(PowerShell을 사용하여 VMware Unified Access Gateway 배포)에 첨부된 PowerShell 스크립트와 함께 이 .pem 파일을 사용하여 Unified Access Gateway에 대한 인증서를 구성할 수 있습니다. 또는, JSON 요청을 생성 및 사용하여 인증서를 구성할 수 있습니다.

다음에 수행할 작업

기본 자체 서명된 인증서를 CA 서명된 인증서로 업데이트할 수 있습니다. SSL 서버 서명된 인증서 업데이트의 내용을 참조하십시오. 스마트 카드 인증서의 경우에는 Unified Access Gateway 장치에서 인증서 또는 스마트 카드 인증 구성의 내용을 참조하십시오.