외부 CA(인증 기관) 기능은 온-프레미스 Orchestrator를 배포하며 자체 서명된 기본 Orchestrator 인증 기관이 아닌 자체 CA(인증 기관)를 사용해야 하는 대기업 및 정부 고객을 위한 것입니다. 이 섹션에서는 외부 CA를 사용하도록 설정하고 구성하는 방법을 설명합니다.

외부 CA가 구성된 경우 CSR(인증서 서명 요청)을 수신하고 디바이스 인증서 자체를 발급하는 Orchestrator가 대신, 인증서를 발급하기 위해 CSR을 외부 CA에 전달해야 합니다. 디바이스 인증서가 Orchestrator로 다시 반환된 후 Edge 또는 게이트웨이로 전송됩니다.

이 기능을 사용하는 고객은 PrimeKey(EJBCA PKI)에서 상용 인증 기관을 배포하거나 경우에 따라 자체 소유 CA를 구현할 수 있습니다.

릴리스 4.3.0의 경우 외부 CA를 사용하도록 설정한 Orchestrator가 단일 상호 작용 모드인 동기식으로 작동하도록 구성될 수 있습니다. 동기 모드에서 Orchestrator는 인증서 요청, 갱신 및 해지를 위한 REST API를 통해 외부 CA(릴리스 3.4.0의 경우, PrimeKey EJBCA PKI는 유일하게 사용 가능한 외부 인증 기관임)와 직접 통합됩니다.

외부 CA 사용

외부 CA(External CA) 기능은 두 개의 시스템 속성을 통해 사용하도록 설정됩니다. 이러한 시스템 속성을 사용하도록 설정하는 것은 수퍼유저 역할이 있는 운영자만 수행할 수 있습니다.

절차

사용하도록 설정해야 하는 첫 번째 시스템 속성은 ca.external.configuration입니다. 이 속성은 JSON 데이터 유형을 사용하여 수동으로 생성되고 JSON은 샘플 외부 CA 구성 섹션에 있는 예제와 일치하게 채워집니다.

ca.external.configuration을 생성하고 사용하도록 설정한 후에만 운영자가 두 번째 시스템 속성 ca.external.enable을 사용하도록 설정해야 합니다.

  1. Orchestrator UI에서 시스템 속성(System Properties)을 선택합니다.
  2. 시스템 속성(System Properties) 페이지의 검색 상자를 사용하여 아래 이미지에 표시된 대로 ca.external.enable을 입력합니다.
  3. ca.external.enable 속성을 찾으면 해당 속성을 선택하여 편집합니다.
  4. ca.external.enable 속성을 True로 변경하고 업데이트(Update)를 선택하여 아래 이미지에 표시된 대로 변경을 완료합니다.

    이때 Orchestrator는 외부 CA와 통신하여 외부 CA 루트 인증서를 가져옵니다.

    외부 인증 기관을 사용하도록 설정했다는 확인은 사용(Enabled) 확인란이 선택된 Orchestrator의 CA 요약(CA Summary) 페이지에서 찾을 수 있습니다.

    외부 CA와의 연결이 설정되었는지 확인하려면 테스트(Test) 버튼을 선택하십시오.

외부 CA 구성

릴리스 4.3.0의 경우 동기 모드만 사용할 수 있기 때문에 이 기능에 대해서는 외부 CA만 구성하도록 제한됩니다. 동기 모드를 사용하는 경우처럼 PrimeKey EJBCA PKI와 같은 하나의 외부 인증 기관만 지원됩니다. 향후 릴리스에서는 비동기 및 수동과 같은 추가 모드가 지원되며 추가 외부 인증 기관이 지원되는 경우 Orchestrator의 CA 요약(CA Summary) 페이지에는 이러한 추가 모드 및 외부 CA에서 선택할 수 있는 기능을 반영하는 구성 인터페이스가 추가되었습니다.

외부 CA 사용(Enable External CA) 섹션에 설명된 것처럼 먼저 운영자는 JSON 데이터 유형을 사용하여 수동으로 생성되고 JSON은 샘플 외부 CA 구성 섹션에 있는 예제와 일치하게 채워지는 ca.external.configuration 시스템 속성을 사용하도록 설정합니다.

ca.external.configuration을 생성하고 사용하도록 설정한 후에만 운영자가 두 번째 시스템 속성 ca.external.enable을 사용하도록 설정해야 합니다.

세 번째 시스템 속성 ca.external.caCertificate가 있습니다. 이 시스템 속성은 외부 CA를 사용하도록 설정하고 유효한 외부 CA에 연결되면 나타납니다. 이 속성에는 PEM(개인 정보 보호 개선 메일) 인코딩된 인증서가 필요합니다.

Orchestrator에는 CA 요약(CA Summary)의 외부 인증 기관(External Certificate Authority) 섹션에 포함된 테스트(Test) 버튼이 있습니다. 이 테스트(Test) 버튼을 클릭하면 운영자는 해당 EJBCA PKI 외부 인증 기관이 Orchestrator와 동기화되어 유효한 인증서를 생성하는지 확인할 수 있습니다.

샘플 외부 CA 구성

이 섹션에서는 ca.external.configuration 필드에 대한 구성의 예를 제공합니다.

{
"integrationType": "SYNCHRONOUS",
"csrDistinguishedName": {
"CN_PID_SN": "VMWare-SDWAN"
},
"synchronous": {
"synchronousIntegrationType": "EJBCA",
"ejbca": {
"serverCaCertificate": "-----BEGIN CERTIFICATE-----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\n+kEK69DlZRNudn4=\n-----END CERTIFICATE-----",
"apiCertificate": "-----BEGIN CERTIFICATE-----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\nGvpl0ZmGVYmond3aBOYu\n-----END CERTIFICATE-----",
"apiKey": "-----BEGIN PRIVATE KEY-----\nMIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC/rPdG0oY89GGU\ngHbV9iG3n3Y1mPBmQ+iVBvKYD3YpM7fG+KnVQTdJLrYoH5vP7lVYQj9H6pjxq0Bh\n53Mse2Fl9UE/Gew6IZiRd2OK9yM1xRKH7hjPB3tqFlA98mar+BYAGPhapmq+sSFz\n6TS2ssToUllG8QgJeMxh6+vSP/Ca9O+HiDB7TqECufVv6lrL7sfKqfyQ5YzITKm7\nIGDQfdCiorwndvd1i1NB+vviiYsk1fEW8gvRUu7wMRlzmPwxnUxdKmb/b7+O65md\n7+FlkqU6EzYMQ/224ZJonwJfzmNTO1AGt4aaJDNKn1i5wV22xqqQZvA6nrkBd+06\npUwVTen1AgMBAAECggEAL5DVVnp0/JhqxMbydptbd613UMqw0bgFdkIgnrKrkIL4\nlsRrpPPHq/4PDzr02C9dd4cNHCQwKzzjv8gHkWDW5U3tEKM2t6BRs7usdLZqwvOy\naxAfkPTa4BNEe3L1nrR0hTatHxXQRJ1BX3nebn5DliGlbRDwfSVAlwZMYcMjStiS\nZNyS71vrxRmYFyUNyjGDCZsBDRdSb41cQJ0GmwMd2B8AE5I0spMZm2Y5FM0ZcddX\nlDcELonz1LCTNZaXyhdDBCQ8ecWrSWJZ8REhTlK/wsTtPbLi1OxIAemcLxzTJQRC\n0tyWzA2zl90hmpJs3of7geGvDCDwRu/MgvuH31MFwQKBgQDxbHm/982/txuB440+\nMm+x/Ma5HzZg0l8sMdH0wQ5qJYd/lrgz2Ik79FqmFPh0l6LcekA0zGri+4PiRVRx\nAlY9pLFdegIY6jJpvJxJH+kQ00xEdeUSZ1O0aAn4dlsHaX3wg+SBJ0NiZxsOeQ9m\nrMDKYT7LE3F5indOimDCug2GoQKBgQDLP5FPvA3uWh5Lff14yhVb0T1oiyeiqe01\nylO7LkCI0s002/M7U0gWXd2XNqAr98KRFtVsbf9gZxsKXTvDI+Vsd11xGGfNZXmM\nwodSK9zIeL4Eve7mRtcB/ZDjtqOn0Um2YeVfXZrEacQoopYo7B4pwjpJmIq/40w3\nOlhXOXEm1QKBgQDPkd9/8LQCwJEy9Q1sS3sDQf0uDyr2xgkz+0W0NQSKuOeuCE0p\nrmQXmzkREHip7fIFtEpd2t+PdoZm1gsK+uJhL6ebYhpJh5p+lL6elIQThkhNmDuy\nvgoW01i3OjN7xPSWBSBC9xoVkeaOZAGc2q0Lk96kRXxL7oQzkAAvjD2y4QKBgHEe\neQaSmIJO/8tuXLNsbYTDqNTVlgKvZoloiT+FV3+PK4y+2dnr2RQxu9GcIns2EsDj\nn3cQpXCHEgKrr0ZFZTwAFy6JscQcNRFFd0Ehjmi44rEK8LqTNLkz4f8KuHz/O3JZ\ne+qe0zN71iPzkXVHLOZ65ivtzVNM8y9NtrsdCj/dAoGBAJNM0+Fbt3i1El+U/jOQ\nKwD8vBVwsJEZ0UspoxETTAnu0sgIUbRECVhn/BQ5ja3HusRaDRsKb7ROLyjnRuC7\nnR/wM//oENnRm50hEi4Ocfp0eAOx7XQOUuE08XhUMyXp00mOCo1NwOFtL0WdG6Bk\nSNV2aPx+2+DGSZEVbuLXviHs\n-----END PRIVATE KEY-----",
"host": "ip-10-81-125-132.us-west-2.compute.internal",
"port": "443",
"distinguishedName": "UID=r-0595a13c153d76ae5,CN=ManagementCA,OU=ami-02a4474c1f74940a8,O=ip-10-81-125-132.us-west-2.compute.internal",
"certificateProfile": "ENDUSER",
"endEntityProfile": "EMPTY"
}
}
}

외부 CA 모니터링

모니터링 인증서는 릴리스 4.3.0 이상에서 변경되지 않습니다.

운영자는 CA 요약(CA Summary) 페이지에서 모든 Edge 및 게이트웨이 인증서 목록을 계속 확인합니다.

운영자, 파트너 또는 고객 관리자는 [구성(Configure)] > [Edge] > [개요(Overview)]로 이동하여 특정 Edge 인증서를 검사할 수도 있습니다.

제한 사항

  • 외부 CA는 고객이 관리하는 온-프레미스 Orchestrator에서만 사용하도록 설정할 수 있으며 이 기능은 VMware에 호스팅되는 Orchestrator에서는 사용할 수 없습니다.
  • 릴리스 4.3.0의 경우 이 기능은 동기 모드만 지원합니다.
  • 릴리스 4.3.0의 경우 이 기능은 PrimeKey EJBCA PKI만 외부 CA로 사용할 수 있습니다.
  • 향후 릴리스에서는 추가 모드(비동기 및 수동) 및 추가 외부 CA에 대한 지원이 추가될 예정입니다.