키 및 인증서 만들기

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • 루트 디렉터리에 키와 인증서를 만들어 TLS(전송 계층 보안) 설정을 사용하도록 설정합니다. MID 웹 서버 및 에이전트에서 mTLS를 구성하려면 먼저 TLS 설정이 필요합니다.

    시작하기 전에

    • 다음 명령을 실행하여 MID 통합 키 저장소에 키가 설치되어 있지 않은지 확인합니다.
      bin/scripts/manage-certificates.(sh/bat) -l

      설치된 키가 없는 경우 출력은 defaultsecuritypairhandle입니다.

    • MID 서버를 무효화합니다.

      출력에 추가 키가 있는 경우 MID 서버를 무효화한 후 이러한 키를 재설치합니다.

    • MID 서버가 인스턴스에 연결되었는지 확인합니다.
    • 인증서를 만들려는 디렉터리(root 디렉터리)를 선택합니다.
    주:
    다음 절차에 지정된 명령은 Centos7 호스트에만 해당합니다. 다른 OS로 작업할 때는 호스트와 관련된 명령을 사용합니다.

    필요한 역할: agent_client_collector_admin

    프로시저

    1. 루트 디렉터리에서 인증서에 대한 하위 디렉터리를 만듭니다. 
      mkdir -p labca labmid labacc;
    2. 루트 디렉터리에서:
      1. 사용자 지정 인증 기관 키 쌍을 생성합니다. 
        openssl ecparam -list_curves;
openssl ecparam -out labca/ec-labcakey.pem -name prime256v1 -genkey; 
ls labca/;

        생성된 출력은 ec-labcakey.pem 파일입니다.

      2. 다음 명령을 실행합니다. 
        openssl ecparam -in labca/ec-labcakey.pem -text -noout; 
openssl req -x509 -new -nodes -key labca/ec-labcakey.pem -sha512 -days 365 -out labca/labcacert.pem -subj "/C=<country>/ST=<state>/L=<location>/O=<organization> Lab/OU=<organization unit>/CN=<cn abbreviation>"; 
openssl verify labca/labcacert.pem;
        생성된 출력은 다음과 같습니다.
        • labca/labcacert.pem: C = <country>, ST = <state>, L = <location>, O = <organization>, OU = <organization unit>, CN = <cn abbreviation>
        • 0 깊이 조회에서 오류 18: 자체 서명 된 인증서
        • 확인
        주:
        오류 메시지는 무시할 수 있습니다.
    3. MID 웹 서버 키와 인증서를 준비합니다.
      1. 루트 디렉터리에서 다음 명령을 실행합니다. 
        sudo cp -a labca/labcacert.pem /etc/pki/ca-trust/source/anchors/;
sudo update-ca-trust extract;
openssl verify labca/labcacert.pem

        생성된 출력: labca/labcacert.pem: OK

      2. "hostname --all-fqdns" 명령을 실행하여 특정 VM에 유효한 호스트 이름을 모두 가져옵니다.
      3. 다음 명령을 실행합니다. 
        openssl req -new -newkey rsa:4096 -keyout labmid/rsa-labmidkey.pem -sha512 -nodes -out labmid/mid.csr -subj "/C=<country>/ST=<state>/L=<location>/O=<organization>/OU=<organization unit>/CN=<hostname>";
openssl x509 -req -days 365 -in labmid/mid.csr -CA labca/labcacert.pem -CAkey labca/ec-labcakey.pem -CAcreateserial -extensions SAN -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:<hostname>")) -out labmid/mid.crt;

        이전 명령에서 FQDN을 <hostname> 값으로 입력합니다. 명령에서 둘 이상의 fqdn 값이 반환되는 경우 hostname.domain.domain.com 형식의 값을 사용합니다.

        생성된 출력: Signature ok subject=/C=<country>/ST=<state>/L=<location>/O=<organization>/OU=<organization unit>/CN=<mid server host fqdn>: Getting CA Private Key

    4. 루트 디렉터리에서 key 및 cert 파일을 mid.pem이라는 하나의 파일로 결합합니다. 
      cat labmid/rsa-labmidkey.pem labmid/mid.crt > labmid/mid.pem;

    다음에 수행할 작업

    .pem 파일을 MID 통합 키 저장소에 설치하고 MID 웹 서버 설정.