보안 강화를 위해 Horizon Cloud Connector 가상 장치에 대한 사용자 지정 CA 서명 인증서를 구성할 수 있습니다.

사전 요구 사항

  • 전체 인증서 체인을 PEM 형식으로 사용할 수 있는지 확인합니다.
  • PEM 파일이 암호 대신 개인 키로 생성되었는지 확인합니다.
  • FQDN 및 주체 대체 이름이 발급된 인증서에 포함되어 있는지 확인합니다.

프로시저

  1. 배포된 Horizon Cloud Connector 가상 장치에 대한 SSH 세션을 엽니다.
  2. /Root/server.crt 디렉토리에 CA 서명 인증서를 복사합니다.
  3. /root/server.key 디렉토리에 CA 서명 키를 복사합니다.
  4. 기존 인증서를 백업합니다.
    • (Horizon Cloud Connector 버전 1.4 이상) 다음 명령을 사용합니다.
      cp /opt/container-data/certs/hze-nginx/server.crt /opt/container-data/certs/hze-nginx/server.crt.orig
    • (Horizon Cloud Connector 버전 1.3 이하) 다음 명령을 사용합니다.
      cp /etc/nginx/ssl/server.crt /etc/nginx/ssl/server.crt.orig
  5. 기존 키를 백업합니다.
    • (Horizon Cloud Connector 버전 1.4 이상) 다음 명령을 사용합니다.
      cp /opt/container-data/certs/hze-nginx/server.key /opt/container-data/certs/hze-nginx/server.key.orig
    • (Horizon Cloud Connector 버전 1.3 이하) 다음 명령을 사용합니다.
      cp /etc/nginx/ssl/server.key /etc/nginx/ssl/server.key.orig
  6. 기존 nginx conf 파일을 복사합니다.
    • (Horizon Cloud Connector 버전 1.4 이상) 다음 명령을 사용합니다.
      cp /opt/container-data/conf/hze-nginx/nginx.conf /opt/container-data/conf/hze-nginx/nginx.conf.orig
    • (Horizon Cloud Connector 버전 1.3 이하) 다음 명령을 사용합니다.
      cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.orig
  7. 가상 장치 버전에 해당하는 디렉토리에 CA 인증서를 복사합니다.
    • (Horizon Cloud Connector 버전 1.4 이상) 다음 명령을 사용합니다.
      cp /root/server.crt /opt/container-data/certs/hze-nginx/server.crt
    • (Horizon Cloud Connector 버전 1.3 이하) 다음 명령을 사용합니다.
      cp /root/server.crt /etc/nginx/ssl/server.crt
  8. 가상 장치 버전에 해당하는 디렉토리에 CA 인증서 키 파일을 복사합니다.
    • (Horizon Cloud Connector 버전 1.4 이상) 다음 명령을 사용합니다.
      cp /root/server.key /opt/container-data/certs/hze-nginx/server.key
    • (Horizon Cloud Connector 버전 1.3 이하) 다음 명령을 사용합니다.
      cp /root/server.key /etc/nginx/ssl/server.key
  9. 인증서 및 키 파일에 대한 소유자 및 사용 권한을 확인합니다.
    • (Horizon Cloud Connector 버전 1.4 이상) 다음 명령을 사용합니다.
      chown -R hze-nginx:hze-nginx /opt/container-data/certs/hze-nginx 
chmod 644 /opt/container-data/certs/hze-nginx/server.crt 
chmod 600 /opt/container-data/certs/hze-nginx/server.key
    • (Horizon Cloud Connector 버전 1.3 이하) 다음 명령을 사용합니다.
      chown -R root:root /etc/nginx/ssl
chmod -R 600 /etc/nginx/ssl
  10. 인증서의 발급된 FQDN이 nginx 구성 파일에 있는 서버 수신 443 블록의 서버 이름 지시문과 일치하는지 확인합니다.
    • (Horizon Cloud Connector 버전 1.4 이상) nginx 구성 파일은 /opt/container-data/conf/hze-nginx/nginx.conf에 있습니다.
    • (Horizon Cloud Connector 버전 1.3 이하) nginx의 구성 파일이 /etc/nginx/nginx.conf에 있습니다.
  11. nginx를 확인한 후 다시 시작합니다.
    • (Horizon Cloud Connector 버전 2.0 이상) 다음 명령을 사용합니다.
      kubectl rollout restart daemonset hze-nginx -n hze-system
    • (Horizon Cloud Connector 버전 1.4~1.10) 다음 명령을 사용합니다.
      docker exec -i hze-nginx sudo nginx -t 
systemctl restart hze-nginx
    • (Horizon Cloud Connector 버전 1.3 이하) 다음 명령을 사용합니다.
      nginx -t
systemctl restart nginx
  12. 시작 화면에서 SSL 지문을 업데이트합니다.
    • (Horizon Cloud Connector 버전 2.0 이상) 다음 명령을 사용합니다.
      /opt/vmware/bin/configure-welcome-screen.py
/usr/bin/killall --quiet vami_login
    • (Horizon Cloud Connector 버전 1.4~1.10) 다음 명령을 사용합니다. 
      docker exec -i hze-core sudo /opt/vmware/bin/configure-welcome-screen.py 
/usr/bin/killall --quiet vami_login
  13. 웹 브라우저에서 Horizon Cloud Connector 사용자 인터페이스 URL을 다시 로드하여 새 인증서를 테스트합니다.
  14. (선택 사항) 인증서가 올바르게 작동하는 경우 백업한 파일을 제거합니다.
    • (Horizon Cloud Connector 버전 1.4 이상) 다음 명령을 사용합니다.
      rm /opt/container-data/certs/hze-nginx/server.crt.orig 
rm /opt/container-data/certs/hze-nginx/server.key.orig 
rm /opt/container-data/conf/hze-nginx/nginx.conf.orig
    • (Horizon Cloud Connector 버전 1.3 이하) 다음 명령을 사용합니다.
      rm /etc/nginx/ssl/server.crt.orig
rm /etc/nginx/ssl/server.key.orig
rm /etc/nginx/nginx.conf.orig
  15. 루트 디렉토리에서 복사한 CA 인증서 및 키 파일을 제거합니다.
    다음 명령을 사용합니다. 
    rm /root/server.crt
     rm /root/server.key