본문으로 건너뛰기

보안 인증서 작업

Lenovo XClarity Orchestrator는 SSL 인증서를 사용하여 XClarity Orchestrator와 관리되는 리소스 관리자(예: Lenovo XClarity Administrator 또는 Schneider Electric EcoStruxure IT Expert) 간의 신뢰할 수 있는 보안 통신 및 사용자 또는 다른 서비서와의 XClarity Orchestrator 통신을 설정합니다. 기본적으로 XClarity Orchestrator 및 Lenovo XClarity Administrator에서는 내부 인증 기관에서 자체 서명하고 발행한 XClarity Orchestrator가 생성한 인증서를 사용합니다.

시작하기 전에

이 섹션은 SSL 표준 및 SSL 인증서의 정의 및 관리 방법을 포함하여 이에 대한 기본적인 지식이 있는 관리자를 대상으로 합니다. 공개 키 인증서에 대한 일반적인 정보는 Wikipedia의 X.509 웹 페이지인터넷 X.509 공개 키 인프라 인증서 및 CRL(인증서 해지 목록) 프로필(RFC5280) 웹 페이지에서 확인하십시오.

이 작업 정보

XClarity Orchestrator의 모든 인스턴스에서 고유 생성되는 기본 서버 인증서는 여러 환경에서 충분한 보안을 제공합니다. XClarity Orchestrator가 대신 인증서를 관리하게 하거나 서버 인증서를 사용자 지정 또는 교체함으로써 더 적극적인 역할을 맡을 수 있습니다. XClarity Orchestrator는 환경에 맞게 인증서를 사용자 지정하는 옵션을 제공합니다. 예를 들어 다음 사항을 선택할 수 있습니다.
  • 조직에 고유한 값을 사용하는 내부 인증 기관 또는 최종 서버 인증서를 재생성하여 새로운 키 쌍을 생성합니다.
  • 선택한 인증 기관에 보내 사용자 지정 인증서에 서명할 수 있는 CSR(인증서 서명 요청)을 생성합니다. 이 인증서는 XClarity Orchestrator에 업로드하여 호스팅되는 모든 서비스에 대한 최종 서버 인증서로 사용할 수 있습니다.
  • 웹 브라우저의 신뢰할 수 있는 인증서 목록으로 해당 인증서를 가져올 수 있도록 로컬 시스템에 서버 인증서를 다운로드합니다.

XClarity Orchestrator에서는 수신 SSL/TLS 연결을 수락하는 몇 가지 서비스를 제공합니다. 웹 브라우저와 같은 클라이언트가 이러한 서비스 중 하나에 연결하면 XClarity Orchestrator은(는) 연결을 시도하는 클라이언트가 식별할 수 있도록 서버 인증서를 제공합니다. 클라이언트는 신뢰하는 인증서 목록을 유지 관리해야 합니다. XClarity Orchestrator 서버 인증서가 클라이언트 목록에 포함되어 있지 않으면 클라이언트는 XClarity Orchestrator와의 연결을 끊어 보안에 민감한 정보를 신뢰할 수 없는 출처와 교환하지 않도록 합니다.

XClarity Orchestrator는 리소스 관리자 및 외부 서비스와 통신할 때 클라이언트의 역할을 합니다. 이 경우 리소스 관리자 또는 외부 서비스는 XClarity Orchestrator에서 확인할 수 있도록 서버 인증서를 제공합니다. XClarity Orchestrator은(는) 신뢰하는 인증서 목록을 유지 관리합니다. 리소스 관리자 또는 외부 서비스에서 제공하는 신뢰할 수 있는 인증서가 나열되지 않으면 XClarity Orchestrator는 관리되는 장치 또는 외부 서비스와의 연결을 끊어 보안에 민감한 정보를 신뢰할 수 없는 출처와 교환하지 않도록 합니다.

다음 인증서 범주는 XClarity Orchestrator 서비스에서 사용되며 여기에 연결하는 모든 클라이언트가 신뢰할 수 있어야 합니다.
  • 서버 인증서. 최초 부팅 중에 고유 키 및 자체 서명된 인증서가 생성됩니다. 이러한 인증서는 기본 루트 인증 기관으로 사용되며 인증 기관 페이지의 XClarity Orchestrator 보안 설정에서 관리할 수 있습니다. 키가 유출된 경우 또는 조직에 모든 인증서를 주기적으로 교체해야 한다는 정책이 있는 경우가 아니라면 이 루트 인증서를 다시 생성하지 않아도 됩니다(내부 서명된 XClarity Orchestrator 서버 인증서 다시 생성 참고).

    또한 초기 설정 중에 별도의 키가 생성되고 서버 인증서가 만들어져 내부 인증 기관의 서명을 받습니다. 이 인정서는 기본 XClarity Orchestrator 서버 인증서로 사용됩니다. 인증서에 서버의 올바른 주소가 포함될 수 있도록 XClarity Orchestrator에서 네트워킹 주소(IP 또는 DNS 주소)가 변경되었음을 감지할 때마다 자동으로 다시 생성됩니다. 필요 시 사용자 지정 및 생성할 수 있습니다(내부 서명된 XClarity Orchestrator 서버 인증서 다시 생성 참조).

    CSR(인증서 서명 요청)을 생성하고, 개인 또는 상업용 인증서 루트 인증 기관에서 CSR에 서명하도록 한 후, 전체 인증서 체인을 XClarity Orchestrator(으)로 가져와서 기본 자체 서명된 서버 인증서 대신 외부 서명된 서버 인증서를 사용하도록 선택할 수 있습니다(신뢰할 수 있고 외부에서 서명된 XClarity Orchestrator 서버 인증서 설치 참조).

    기본 자체 서명된 서버 인증서를 사용하도록 선택하는 경우 웹 브라우저에 신뢰하는 루트 기관으로 서버 인증서를 가져와 브라우저에서 인증서 오류 메시지가 표시되지 않도록 하는 것이 좋습니다(웹 브라우저에 서버 인증서 가져오기 참조).

다음 인증서 범주(신뢰 저장소)는 XClarity Orchestrator 클라이언트가 사용합니다.
  • 신뢰할 수 있는 인증서

    이 신뢰 저장소는 XClarity Orchestrator이(가) 클라이언트 역할을 할 때 로컬 리소스에 대한 보안 연결을 설정하는 데 사용되는 인증서를 관리합니다. 로컬 리소스의 예로는 관리되는 리소스 관리자, 이벤트 전달 시 로컬 소프트웨어 등이 있습니다.

  • 외부 서비스 인증서. 이 신뢰 저장소는 XClarity Orchestrator이(가) 클라이언트 역할을 할 때 외부 서비스와의 보안 연결을 설정하는 데 사용되는 인증서를 관리합니다. 외부 서비스의 예로는 보증 정보를 검색하거나 서비스 티켓을 생성하는 데 사용되는 온라인 Lenovo 지원 서비스, 이벤트를 전달할 수 있는 외부 소프트웨어(예: Splunk)가 있습니다. 여기에는 Digicert 및 Globalsign과 같이 일반적으로 신뢰할 수 있고 잘 알려진 특정 인증 기관 공급자의 루트 인증 기관에서 받은 미리 구성된 신뢰할 수 있는 인증서가 포함됩니다.

    다른 외부 서비스에 연결해야 하는 기능을 사용하기 위해 XClarity Orchestrator을(를) 구성하는 경우 설명서를 참고하여 이 신뢰 저장소에 인증서를 수동으로 추가해야 하는지 확인하십시오.

    이 신뢰 저장소의 인증서는 기본 신뢰할 수 있는 인증서 신뢰 저장소에 추가하지 않는 한 다른 서비스(예: LDAP)에 대한 연결을 설정할 때 신뢰하지 않습니다. 이 신뢰 저장소에서 인증서를 제거하면 이러한 서비스가 성공적으로 작동하지 않습니다.

  • 외부 서비스에 대한 신뢰할 수 있는 인증서 추가
    이러한 인증서는 외부 서비스와의 신뢰 관계를 설정하는 데 사용됩니다. 예를 들어, 이 신뢰 저장소의 인증서는 Lenovo에서 보증 정보를 검색하고, 티켓을 작성하고, 이벤트를 외부 애플리케이션(예: Splunk)으로 전달하고 외부 LDAP 서버를 사용할 때 사용됩니다.
  • 내부 서비스에 대한 신뢰할 수 있는 인증서 추가
    이 인증서는 Lenovo XClarity Orchestrator가 이벤트를 로컬 소프트웨어에 전달하는 리소스 관리자처럼 리소스에 대한 클라이언트 및 내장 LDAP 서버 역할을 할 때 로컬 리소스와 신뢰 관계를 설정하는 데 사용됩니다. 또한 내부 CA 인증서와 사용자 지정 외부 서명된 서버 인증서의 CA 인증서(설치된 경우)는 내부 XClarity Orchestrator 통신을 지원하기 위해 이 신뢰 저장소에 있습니다.
  • 신뢰할 수 있고 외부에서 서명된 XClarity Orchestrator 서버 인증서 설치
    개인 또는 상업용 인증 기관(CA)에서 서명한 신뢰할 수 있는 서버 인증서를 사용할 수 있습니다. 외부 서명된 서버 인증서를 사용하려면 CSR(인증서 서명 요청)을 생성한 다음 나타나는 서버 인증서를 가져와서 기존 서버 인증서를 교체하십시오.
  • 내부 서명된 XClarity Orchestrator 서버 인증서 다시 생성
    XClarity Orchestrator가 현재 사용자 지정 외부 서명된 서버 인증서를 사용하는 경우 새 서버 인증서를 생성하여 현재 내부 서명된 Lenovo XClarity Orchestrator서버 인증서를 교체하거나 XClarity Orchestrator가 생성한 인증서를 복구할 수 있습니다. 내부 서명된 새 서버 인증서는 XClarity OrchestratorHTTPS 액세스용입니다.
  • 웹 브라우저에 서버 인증서 가져오기
    현재 서버 인증서의 사본을 로컬 시스템에 PEM 형식으로 저장할 수 있습니다. 그런 다음 인증서를 웹 브라우저의 신뢰할 수 있는 인증서 목록 또는 다른 응용 프로그램(예: Lenovo XClarity Mobile 또는 Lenovo XClarity Integrator)으로 가져오면 Lenovo XClarity Orchestrator에 액세스할 때 보안 경고 메시지가 웹 브라우저에 나타나지 않습니다.