TKG 확장에는 TLS 인증서가 필요합니다. 사전 요구 사항을 충족하도록 cert-manager를 설치하거나 자체 서명된 인증서를 사용할 수 있습니다. CA의 인증서도 지원됩니다.
TKG 확장에 자체 TLS 인증서 사용 정보
cert-manager 설치는 각 TKG 확장에 대한 배포 프로세스의 일부로 문서화되어 있습니다. 또는 자체 TLS 인증서를 사용할 수 있습니다.
참고: 이 작업은 OpenSSL이 설치된 Linux 호스트를 사용한다고 가정합니다.
인증 기관 인증서 생성
운영 환경에서는 CA로부터 인증서를 확보해야 합니다. 개발 또는 테스트 환경에서는 자체 서명된 인증서를 생성할 수 있습니다. CA 인증서를 생성하려면 다음 지침을 완료하십시오.
- CA 인증서 개인 키를 생성합니다.
openssl genrsa -out ca.key 4096
- CA 인증서를 생성합니다.
다음 명령을 템플릿으로 사용합니다. 환경에 따라
-subj옵션의 값을 업데이트합니다. FQDN을 사용하여 TKG 확장 호스트를 연결하는 경우 이 FQDN을 CN(일반 이름) 특성으로 지정해야 합니다.openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=US/ST=PA/L=PA/O=example/OU=Personal/CN=tkg-extensions.system.tanzu" \ -key ca.key \ -out ca.crt
서버 인증서 생성
인증서에는 일반적으로 .crt 파일과 .key 파일이 포함되어 있습니다(예:
tls.crt 및
tls.key).
- 개인 키를 생성합니다.
openssl genrsa -out tls.key 4096
- CSR(인증서 서명 요청)을 생성합니다.
다음 명령을 템플릿으로 사용합니다. 환경에 따라
-subj옵션의 값을 업데이트합니다. FQDN을 사용하여 TKG 확장 호스트를 연결하는 경우에는 이 FQDN을 CN(일반 이름) 특성으로 지정하고 키 및 CSR 파일 이름에 FQDN을 사용해야 합니다.openssl req -sha512 -new \ -subj "/C=US/ST=PA/L=PA/O=example/OU=Personal/CN=tkg-extensions.system.tanzu" \ -key tls.key \ -out tls.csr - x509 v3 확장 파일을 생성합니다.
다음 명령을 템플릿으로 사용합니다. SAN(주체 대체 이름) 및 x509 v3 확장 요구 사항을 준수하는 TKG 확장 호스트에 대한 인증서를 생성할 수 있도록 이 파일을 생성합니다.
cat > v3.ext <<-EOF authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1=tkg-extensions.system.tanzu EOF
- x509 v3 확장 파일을 사용하여 TKG 확장 호스트에 대한 인증서를 생성합니다.
openssl x509 -req -sha512 -days 3650 \ -extfile v3.ext \ -CA ca.crt -CAkey ca.key -CAcreateserial \ -in tls.csr \ -out tls.crt
- 다음 형식을 사용하여
ca.crt,tls.crt,tls.key파일의 내용을TKG-EXTENSION-data-values.yaml파일에 복사합니다.ingress: tlsCertificate: tls.crt: | -----BEGIN ... - 설명에 따라 지원되는 TKG 확장 배포를 진행합니다.
