설치 후 프로세스의 일부로 SSL(Secure Sockets Layer) 인증서를 설정할 수 있습니다. SSL 인증서 설정은 SaltStack Config를 설치하는 경우 선택 사항이지만 설정하는 것이 좋습니다.
시작하기 전에
SSL 인증서 설정은 특정 순서로 수행해야 하는 일련의 여러 단계 중 하나인 설치 후 단계입니다. 먼저 설치 시나리오 중 하나를 완료한 후 다음과 같은 설치 후 페이지를 읽어보십시오.
SSL 인증서 설정 및 구성
SSL 인증서를 생성하려면:
- 설치 후 SSL을 구성하기 위해
python36-pyOpenSSL패키지가 필요합니다. 이 단계는 일반적으로 설치 전에 완료됩니다. 설치 전에 설치하지 못한 경우 지금 설치할 수 있습니다. 종속성 확인 및 설치에 대한 지침은 Salt 설치 또는 업그레이드를 참조하십시오. - RaaS 서비스에 대한 인증서 폴더를 생성하고 권한을 설정합니다.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Salt를 사용하여 RaaS 서비스용 키를 생성하거나 직접 제공합니다.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- SaltStack Config 사용자 인터페이스에 대한 SSL 연결을 사용하도록 설정하려면 PEM 인코딩 SSL 인증서를 생성하거나 기존 PEM 인코딩 인증서에 대한 액세스 권한이 있는지 확인합니다.
- 이전 단계에서 생성한
.crt및.key파일을 RaaS 노드의/etc/pki/raas/certs에 저장합니다. - 텍스트 편집기에서
/etc/raas/raas를 열어서 RaaS 서비스 구성을 업데이트합니다.<filename>을 SSL 인증서 파일 이름으로 대체하여 다음 값을 구성합니다.tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- RaaS 서비스를 다시 시작합니다.
sudo systemctl restart raas
- RaaS 서비스가 실행 중인지 확인합니다.
sudo systemctl status raas
- 조직의 사용자 지정 SaltStack Config URL로 이동한 후 자격 증명을 입력하여 웹 브라우저에서 사용자 인터페이스에 연결할 수 있는지 확인합니다. 로그인에 대한 자세한 내용은 처음으로 로그인하고 기본 자격 증명 변경을 참조하십시오.
이제 SaltStack Config에 대한 SSL 인증서가 설정되었습니다.
SSL 인증서 업데이트
SaltStack Config에 대한 SSL 인증서 업데이트 지침은 VMware 기술 자료에 제공됩니다. 자세한 내용은 SaltStack Config용 SSL 인증서를 업데이트하는 방법을 참조하십시오.
자체 서명된 인증서를 사용하는 vRealize Automation으로 SaltStack Config 환경 문제 해결
이 해결 방법은 비표준 CA(인증 기관)에서 서명한 인증서를 사용하는 vRealize Automation 배포로 작업하는 고객을 위한 것입니다.
SaltStack Config에 다음과 같은 증상이 나타날 수 있습니다.
- vRealize Automation을 처음 열면 웹 브라우저의 URL 옆 또는 표시 페이지에 인증서의 유효성을 검사할 수 없다는 보안 경고가 표시됩니다.
- 웹 브라우저에서 SaltStack Config 사용자 인터페이스를 열려고 하면 403 오류 또는 빈 화면이 나타날 수 있습니다.
이러한 증상은 vRealize Automation 배포가 비표준 CA(인증 기관)에서 서명한 인증서를 사용하는 경우에 발생할 수 있습니다. 이로 인해 SaltStack Config가 빈 화면을 표시하는지 확인하려면 SSH를 통해 SaltStack Config를 호스팅하는 노드에 연결하고 RaaS 로그 파일(/var/log/raas/raas)을 검토합니다. 자체 서명된 인증서가 허용되지 않음을 나타내는 역추적 오류 메시지가 표시되면 다음 해결 방법으로 이 문제를 해결할 수 있습니다.
보안 모범 사례로, 운영 환경에서 자체 서명된 인증서 또는 잘못 서명된 인증서를 사용하여 vRealize Automation 또는 SaltStack Config을 인증하도록 설정해서는 안 됩니다. 그 대신, 신뢰할 수 있는 CA(인증 기관)에서 발급한 인증서를 사용하는 것이 좋습니다.
자체 서명된 인증서 또는 잘못 서명된 인증서를 사용하기로 선택하는 경우 시스템이 심각한 보안 침해 위험에 노출될 수 있습니다. 이 절차를 사용할 때는 주의하여 진행하십시오.
이 문제가 발생하고, 비표준 CA(인증 기관)에서 서명한 인증서를 환경에서 계속 사용해야 하는 경우 해결 방법은 vRealize Automation 인증서 CA를 SaltStack Config 환경에 추가하는 것이며, 다음 해결 방법에 설명되어 있습니다.
이 해결 방법에는 다음이 필요합니다.
- 루트 액세스
- RaaS 서버에 SSH를 통해 연결 가능
추가 보안 모범 사례로, 이 수준의 액세스 권한은 조직의 가장 신뢰할 수 있는 선임급 직원에게만 부여해야 합니다. 환경에 대한 루트 액세스를 제한하도록 주의해야 합니다.
자체 서명된 인증서를 사용하기 보다는 사설 CA(인증 기관)를 생성하고 이 CA(인증 기관)에서 자체 vRealize Automation 인증서에 서명하는 것이 더 쉬울 수 있습니다. 이 방식의 장점은 필요한 모든 vRealize Automation 인증서에 대해 이 프로세스를 한 번만 진행하면 된다는 것입니다. 그렇지 않으면 생성하는 모든 vRealize Automation 인증서에 대해 이 프로세스를 거쳐야 합니다. 사설 CA(인증 기관) 생성에 대한 자세한 내용은 자체 CA(인증 기관)를 사용하여 인증서 요청에 서명하는 방법(Stack Overflow)을 참조하십시오.
비표준 CA(인증 기관)에서 서명한 인증서를 SaltStack Config의 CA(인증 기관) 목록에 추가하려면:
- 브라우저에서 vRealize Automation 웹 인터페이스를 열어 봅니다. 브라우저 창 및 URL 표시에 인증서에 대한 주의 메시지가 표시됩니다.
- 필요한 인증서를 다운로드합니다.
- Chrome 브라우저: URL 표시에서 안전하지 않음 주의를 클릭하여 메뉴를 엽니다. 인증서(유효하지 않음)를 선택합니다. 누락된 인증서를 로컬 컴퓨터의 파일 탐색기 또는 파인더로 끌어 저장합니다. CA(인증서 서명자)를 선택합니다(사용 가능한 경우). 인증서 아이콘을 클릭한 다음 로컬 컴퓨터의 파일 탐색기로 끌어옵니다. 파일 확장명이 .pem(.crt .cer .der)이 아닌 경우 다음 명령을 사용하여 .pem 형식으로 변환합니다.
openssl x509 -inform der -in certificate.cer -out certificate.pem - Firefox 브라우저: URL 표시의 주의 아이콘을 클릭하여 메뉴를 엽니다. 안전하지 않은 연결 > 추가 정보를 선택합니다. 대화상자에서 인증서 보기를 클릭합니다. 누락된 인증서를 클릭하여 로컬 컴퓨터의 파일 시스템으로 다운로드합니다.
- Chrome 브라우저: URL 표시에서 안전하지 않음 주의를 클릭하여 메뉴를 엽니다. 인증서(유효하지 않음)를 선택합니다. 누락된 인증서를 로컬 컴퓨터의 파일 탐색기 또는 파인더로 끌어 저장합니다. CA(인증서 서명자)를 선택합니다(사용 가능한 경우). 인증서 아이콘을 클릭한 다음 로컬 컴퓨터의 파일 탐색기로 끌어옵니다. 파일 확장명이 .pem(.crt .cer .der)이 아닌 경우 다음 명령을 사용하여 .pem 형식으로 변환합니다.
- 아직 연결하지 않은 경우 SSH를 통해 RaaS 서버에 연결합니다.
- 인증서 파일을 이 디렉토리의 파일(
/etc/pki/tls/certs/ca-bundle.crt) 끝에 추가합니다. 다음 명령을 사용하여(예제 파일을 실제 파일 이름으로 바꿔서) 파일 끝에 인증서를 추가할 수 있습니다.cat <certificate-file>.crt >> /etc/pki/tls/certs/ca-bundle.crt
참고:이 명령을 사용하여 확장명이
.pem인 파일을 복사할 수도 있습니다. /usr/lib/systemd/system디렉토리로 이동한 후 편집기에서raas.service파일을 엽니다. 다음 줄을 이 파일의 ExecStart 줄 위 아무 곳에나 추가합니다.Environment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt
- 다음 명령을 사용하여 데몬을 다시 로드하고 RaaS를 다시 시작합니다.
systemctl daemon-reload systemctl stop raas rm /var/log/raas/raas systemctl start raas tail -f /var/log/raas/raas
참고:tail -f /var/log/raas/raas를 사용하여 RaaS 로그 파일을 계속 표시하면 문제 해결에 도움이 될 수 있습니다. - SaltStack Config 웹 인터페이스에 로그인하여 이 해결 방법으로 문제가 해결되었는지 확인합니다. 문제가 해결되면 SaltStack Config에 대시보드 페이지가 표시됩니다.
후속 작업
SSL 인증서를 설정한 후에는 설치 후 단계를 추가로 완료해야 할 수 있습니다.
SaltStack SecOps 고객인 경우 다음 단계에서 이러한 서비스를 설정합니다. 자세한 내용은 SaltStack SecOps 구성 항목을 참조하십시오.
필요한 모든 설치 후 단계를 완료한 경우 다음 단계는 SaltStack Config를 vRealize Automation SaltStack SecOps와 통합하는 것입니다. 자세한 내용은 vRealize Automation과 SaltStack Config 통합 생성을 참조하십시오.
