vSphere Bitfusion 4.5.2부터는 CLI 명령 및 vSphere Bitfusion 플러그인을 사용하여 vSphere Bitfusion 서버 및 클라이언트의 인증서를 갱신할 수 있습니다.

vSphere Bitfusion 서버의 첫 번째 가상 시스템이 vSphere Bitfusion 클러스터에 가입하면 CA(인증 기관) 쌍 키가 생성됩니다. 인증서는 모든 클라이언트에서 서버로, 서버에서 서버로, 서버에서 데이터베이스로, 데이터베이스에서 데이터베이스로의 연결을 인증하는 작업을 담당합니다. 클러스터에 가입하는 모든 후속 서버는 인증서를 읽고 기본 서버의 CA에 해당 쌍 키를 서명합니다. 이중화를 보장하기 위해 vSphere Bitfusion은 Apache Cassandra 데이터베이스에 CA(인증 기관) 정보를 저장합니다(예: 기본 서버가 실패하는 경우).
참고: vSphere Bitfusion 4.5.2부터는 인증서의 기본 만료 기간이 20년으로 연장됩니다. vSphere Bitfusion 4.5.1 및 이전 버전의 경우 인증서가 1년 후에 만료됩니다.
vSphere Bitfusion 서버 및 클라이언트에서 인증서를 갱신하려면 다음 절차를 완료합니다.

프로시저

  1. 서버 인증서를 생성합니다.
    1. 터미널 애플리케이션을 열고 ssh customer@ip_address 명령을 실행합니다. 여기서 ip_address는 기본 vSphere Bitfusion 서버의 IP 주소입니다.
      vSphere Bitfusion 플러그인에서 vSphere Bitfusion 서버 IP 주소를 가져올 수 있습니다.
    2. 기본 vSphere Bitfusion 서버를 배포하는 동안 지정한 고객 암호를 입력합니다.
    3. 서버 인증서를 생성하려면 sudo bitfusion tls-certs gen 명령을 실행합니다.
      ca.crt.xxxca.key.xxx 인증서 파일은 /etc/bitfusion/tls/ 폴더에 생성되며 여기서 xxx는 파일 이름 접미사입니다. 예: ca.key.20220408-202701ca.crt.20220408-202701.
  2. 기본 vSphere Bitfusion 서버의 인증서를 모든 후속 서버로 복사합니다.
    1. 기본 vSphere Bitfusion 서버에서 다음 명령을 실행하여 인증서 파일을 로컬 시스템에 복사합니다. 여기서 ip_address_primary는 기본 vSphere Bitfusion 서버의 IP 주소이고 xxx는 파일 이름 접미사입니다. 
      scp customer@ip_address_primary:ca.crt.xxx .
scp customer@ip_address_primary:ca.key.xxx .
    2. 로컬 시스템에서 다음 명령을 실행하여 로컬 시스템의 인증서 파일을 후속 vSphere Bitfusion 서버로 복사합니다. 여기서 ip_address_subsequent는 후속 vSphere Bitfusion 서버의 IP 주소이고 xxx는 파일 이름 접미사입니다. 
      scp ca.crt.xxx customer@ip_address_subsequent:~/
scp ca.key.xxx customer@ip_address_subsequent:~/
  3. 인증서를 모든 후속 vSphere Bitfusion 서버로 가져옵니다.
    1. 터미널 애플리케이션을 열고 ssh customer@ip_address 명령을 실행합니다. 여기서 ip_address는 후속 vSphere Bitfusion 서버의 IP 주소입니다.
      vSphere Bitfusion 플러그인에서 vSphere Bitfusion 서버 IP 주소를 가져올 수 있습니다.
    2. 후속 vSphere Bitfusion 서버를 배포하는 동안 지정한 고객 암호를 입력합니다.
    3. 인증서를 가져오려면 sudo bitfusion tls-certs import --cakeypath ca.key.xxx --cacertpath ca.crt.xxx를 실행합니다. 여기서 ca.key.xxxca.crt.xxx는 인증서의 파일이고 xxx는 파일 이름 접미사입니다.
      예를 들어 sudo bitfusion tls-certs import --cakeypath ca.key.20220408-202701 --cacertpath ca.crt.20220408-202701을 실행합니다.
  4. sudo systemctl restart bitfusion 명령을 실행하여 vSphere Bitfusion 서비스를 다시 시작합니다.
    클러스터의 모든 vSphere Bitfusion 서버에서 서비스를 다시 시작해야 합니다.
  5. 클라이언트 인증서를 갱신합니다.
    1. vSphere Client에서 메뉴(vSphere Client 메뉴 아이콘) > Bitfusion을 선택합니다.
    2. 설정 탭에서 클라이언트 인증서 갱신을 확장합니다.
    3. 인증서 갱신을 선택합니다.
  6. 베어메탈 시스템에 vSphere Bitfusion 클라이언트를 설치한 경우 인증서를 수동으로 갱신합니다.
    다음 명령에서 ip_address_servervSphere Bitfusion 서버의 IP 주소이고 ip_address_clientvSphere Bitfusion 클라이언트의 IP 주소이고 xxx는 파일 이름 접미사입니다.
    1. 로컬 시스템에서 ca.crt.xxx 파일(vSphere Bitfusion 서버의)을 클라이언트로 복사합니다. 
      scp customer@ip_address_server:ca.crt.xxx .
scp ca.crt.xxx customer@ip_address_client:~/
    2. 클라이언트 시스템의 터미널에서 ca.crt.xxx 파일을 /etc/bitfusion/tls/ 폴더로 이동합니다. 
      ssh customer@ip_address_client "sudo chown bitfusion:bitfusion ca.crt.xxx; sudo chmod 640 ca.crt.xxx; sudo cp ca.crt.xxx /etc/bitfusion/tls/ca.crt"

결과

클러스터의 모든 vSphere Bitfusion 서버 및 클라이언트에 대한 인증서를 갱신했습니다. 새 인증서는 20년 후에 만료됩니다.