포드의 Unified Access Gateway 기능을 사용하려면 클라이언트 연결용 SSL이 필요합니다. 포드에 Unified Access Gateway 구성을 사용하려는 경우 포드 배포 마법사에는 포드의 Unified Access Gateway 구성에 SSL 서버 인증서 체인을 제공하기 위해 PEM 형식 파일이 필요합니다. 단일 PEM 파일에는 SSL 서버 인증서, 필요한 모든 중간 CA 인증서, 루트 CA 인증서 및 개인 키를 포함하는 전체 인증서 체인이 포함되어야 합니다.

Unified Access Gateway에서 사용되는 인증서 유형에 대한 추가 세부 정보는 Unified Access Gateway 제품 문서에서 [올바른 인증서 유형 선택]이라는 제목의 항목을 참조하십시오.

게이트웨이 설정에 대한 포드 배포 마법사 단계에서 인증서 파일을 업로드합니다. 배포 프로세스 동안 이 파일이 배포된 Unified Access Gateway 인스턴스 구성에 제출됩니다. 마법사 인터페이스에서 업로드 단계를 수행할 때, 마법사에서는 업로드한 파일이 다음과 같은 요구 사항을 충족하는지 확인합니다.

  • 파일을 PEM 형식으로 구문 분석할 수 있습니다.
  • 유효한 인증서 체인과 개인 키가 포함되어 있습니다.
  • 해당 개인 키가 서버 인증서의 공용 키와 일치합니다.

인증서 정보에 대한 PEM 형식의 파일이 없는 경우 위의 요구 사항을 충족하는 파일로 인증서 정보를 변환해야 합니다. PEM 형식이 아닌 파일을 PEM 형식으로 변환하고 전체 인증서 체인과 개인 키가 포함된 단일 PEM 파일을 생성해야 합니다. 또한 파일을 구문 분석하는 동안 마법사에 문제가 발생하지 않도록 파일을 편집하여 불필요한 정보(있는 경우)를 제거해야 합니다. 개략적인 단계는 다음과 같습니다.

  1. 인증서 정보를 PEM 형식으로 변환하고 인증서 체인과 개인 키를 포함하는 단일 PEM 파일을 생성합니다.
  2. 파일을 편집하여 각 ----BEGIN CERTIFICATE---------END CERTIFICATE----- 표시기 세트 사이에 있는 인증서 정보 이외의 불필요한 인증서 정보(있는 경우)를 제거합니다.

다음 단계의 코드 예제에서는 루트 CA 인증서, 중간 CA 인증서 정보 및 개인 키를 포함하는 mycaservercert.pfx 파일로 작업을 시작한다고 가정합니다.

사전 요구 사항

  • 인증서 파일이 있는지 확인합니다. 파일은 PKCS#12(.p12 또는 .pfx) 형식이나 Java JKS 또는 JCEKS 형식으로 되어 있을 수 있습니다.
    중요: 인증서 체인에 있는 모든 인증서는 시간 프레임이 유효해야 합니다. Unified Access Gateway VM에서는 모든 중간 인증서를 비롯하여 체인에 있는 모든 인증서의 시간 프레임이 유효해야 합니다. 체인에 만료된 인증서가 있으면 나중에 인증서가 Unified Access Gateway 구성에 업로드될 때 예기치 않은 오류가 발생할 수 있습니다.
  • 인증서 변환에 사용할 수 있는 openssl 명령줄 도구를 숙지합니다. https://www.openssl.org/docs/apps/openssl.html의 내용을 참조하십시오.
  • 인증서가 Java JKS 또는 JCEKS 형식으로 되어 있는 경우에는 Java keytool 명령줄 도구를 숙지하고 먼저 인증서를 .p12 또는 .pks 형식으로 변환한 후 .pem 파일로 변환합니다.

프로시저

  1. 인증서가 Java JKS 또는 JCEKS 형식으로 되어 있는 경우에는 keytool을 사용하여 인증서를 .p12 또는 .pks 형식으로 변환합니다.
    중요: 이 변환을 수행하는 동안 같은 소스 및 대상 암호를 사용하십시오.
  2. 인증서가 PKCS#12(.p12 또는 .pfx) 형식이거나 인증서가 PKCS#12 형식으로 이미 변환된 경우에는 openssl을 사용하여 인증서를 .pem 파일로 변환합니다.
    예를 들어 인증서의 이름이 mycaservercert.pfx인 경우에는 다음 명령을 사용하여 인증서를 변환할 수 있습니다.
    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercertchain.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    
    위의 첫 번째 줄은 mycaservercert.pfx에 있는 인증서를 가져온 후 mycaservercertchain.pem에 PEM 형식으로 씁니다. 위의 두 번째 줄은 mycaservercert.pfx 에서 개인 키를 가져온 후, mycaservercertkey.pem에 PEM 형식으로 씁니다.
  3. (선택 사항) 개인 키가 RSA 형식이 아닌 경우 개인 키를 RSA 개인 키 형식으로 변환합니다.
    Unified Access Gateway 인스턴스에는 RSA 개인 키 형식이 필요합니다. 이 단계를 실행해야 하는지 여부를 확인하려면 PEM 파일을 살펴보고 개인 키 정보가 다음으로 시작하는지 확인합니다.
    -----BEGIN PRIVATE KEY-----
    개인 키가 이 줄로 시작하는 경우 개인 키를 RSA 형식으로 변환해야 합니다. 개인 키가 -----BEGIN RSA PRIVATE KEY-----로 시작하는 경우 개인 키를 변환하기 위해 이 단계를 실행할 필요가 없습니다.
    개인 키를 RSA 형식으로 변환하려면 다음 명령을 실행합니다.
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
    이제 PEM 파일의 개인 키가 RSA 형식( -----BEGIN RSA PRIVATE KEY----------END RSA PRIVATE KEY-----)입니다.
  4. 인증서 체인 PEM 파일 및 개인 키 PEM 파일에 있는 정보를 결합하여 단일 PEM 파일을 만듭니다.
    아래 예제에서는 mycaservercertkeyrsa.pem의 컨텐츠(RSA 형식의 개인 키)가 먼저 나온 후 mycaservercertchain.pem의 컨텐츠(기본 SSL 인증서), 하나의 중간 인증서, 루트 인증서가 차례로 나오는 샘플을 보여줍니다.
    -----BEGIN CERTIFICATE-----
    .... (your primary SSL certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the intermediate CA certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the trusted root certificate)
    -----END CERTIFICATE-----
    -----BEGIN RSA PRIVATE KEY-----
    .... (your server key from mycaservercertkeyrsa.pem)
    ----- END RSA PRIVATE KEY-----
    참고: 서버 인증서가 먼저 나오고 중간 인증서, 신뢰할 수 있는 루트 인증서가 차례로 나와야 합니다.
  5. BEGINEND 표시기 사이에 불필요한 인증서 항목 또는 관련 없는 정보가 나올 경우 파일을 편집하여 제거하십시오.

결과

결과 PEM 파일이 포드 배포 마법사의 요구 사항을 충족합니다.