보안 인증서 작업
Lenovo XClarity Orchestrator는 SSL 인증서를 사용하여 XClarity Orchestrator와 관리되는 리소스 관리자(예: Lenovo XClarity Administrator 또는 Schneider Electric EcoStruxure IT Expert) 간의 신뢰할 수 있는 보안 통신 및 사용자 또는 다른 서비서와의 XClarity Orchestrator 통신을 설정합니다. 기본적으로 XClarity Orchestrator 및 Lenovo XClarity Administrator에서는 내부 인증 기관에서 자체 서명하고 발행한 XClarity Orchestrator가 생성한 인증서를 사용합니다.
시작하기 전에
이 섹션은 SSL 표준 및 SSL 인증서의 정의 및 관리 방법을 포함하여 이에 대한 기본적인 지식이 있는 관리자를 대상으로 합니다. 공개 키 인증서에 대한 일반적인 정보는 Wikipedia의 X.509 웹 페이지 및 인터넷 X.509 공개 키 인프라 인증서 및 CRL(인증서 해지 목록) 프로필(RFC5280) 웹 페이지에서 확인하십시오.
이 작업 정보
- 조직에 고유한 값을 사용하는 내부 인증 기관 또는 최종 서버 인증서를 재생성하여 새로운 키 쌍을 생성합니다.
- 선택한 인증 기관에 보내 사용자 지정 인증서에 서명할 수 있는 CSR(인증서 서명 요청)을 생성합니다. 이 인증서는 XClarity Orchestrator에 업로드하여 호스팅되는 모든 서비스에 대한 최종 서버 인증서로 사용할 수 있습니다.
- 웹 브라우저의 신뢰할 수 있는 인증서 목록으로 해당 인증서를 가져올 수 있도록 로컬 시스템에 서버 인증서를 다운로드합니다.
XClarity Orchestrator에서는 수신 SSL/TLS 연결을 수락하는 몇 가지 서비스를 제공합니다. 웹 브라우저와 같은 클라이언트가 이러한 서비스 중 하나에 연결하면 XClarity Orchestrator은(는) 연결을 시도하는 클라이언트가 식별할 수 있도록 서버 인증서를 제공합니다. 클라이언트는 신뢰하는 인증서 목록을 유지 관리해야 합니다. XClarity Orchestrator 서버 인증서가 클라이언트 목록에 포함되어 있지 않으면 클라이언트는 XClarity Orchestrator와의 연결을 끊어 보안에 민감한 정보를 신뢰할 수 없는 출처와 교환하지 않도록 합니다.
XClarity Orchestrator는 리소스 관리자 및 외부 서비스와 통신할 때 클라이언트의 역할을 합니다. 이 경우 리소스 관리자 또는 외부 서비스는 XClarity Orchestrator에서 확인할 수 있도록 서버 인증서를 제공합니다. XClarity Orchestrator은(는) 신뢰하는 인증서 목록을 유지 관리합니다. 리소스 관리자 또는 외부 서비스에서 제공하는 신뢰할 수 있는 인증서가 나열되지 않으면 XClarity Orchestrator는 관리되는 장치 또는 외부 서비스와의 연결을 끊어 보안에 민감한 정보를 신뢰할 수 없는 출처와 교환하지 않도록 합니다.
- 서버 인증서. 최초 부팅 중에 고유 키 및 자체 서명된 인증서가 생성됩니다. 이러한 인증서는 기본 루트 인증 기관으로 사용되며 인증 기관 페이지의 XClarity Orchestrator 보안 설정에서 관리할 수 있습니다. 키가 유출된 경우 또는 조직에 모든 인증서를 주기적으로 교체해야 한다는 정책이 있는 경우가 아니라면 이 루트 인증서를 다시 생성하지 않아도 됩니다(내부 서명된 XClarity Orchestrator 서버 인증서 다시 생성 참고).
또한 초기 설정 중에 별도의 키가 생성되고 서버 인증서가 만들어져 내부 인증 기관의 서명을 받습니다. 이 인정서는 기본 XClarity Orchestrator 서버 인증서로 사용됩니다. 인증서에 서버의 올바른 주소가 포함될 수 있도록 XClarity Orchestrator에서 네트워킹 주소(IP 또는 DNS 주소)가 변경되었음을 감지할 때마다 자동으로 다시 생성됩니다. 필요 시 사용자 지정 및 생성할 수 있습니다(내부 서명된 XClarity Orchestrator 서버 인증서 다시 생성 참조).
CSR(인증서 서명 요청)을 생성하고, 개인 또는 상업용 인증서 루트 인증 기관에서 CSR에 서명하도록 한 후, 전체 인증서 체인을 XClarity Orchestrator(으)로 가져와서 기본 자체 서명된 서버 인증서 대신 외부 서명된 서버 인증서를 사용하도록 선택할 수 있습니다(신뢰할 수 있고 외부에서 서명된 XClarity Orchestrator 서버 인증서 설치 참조).
기본 자체 서명된 서버 인증서를 사용하도록 선택하는 경우 웹 브라우저에 신뢰하는 루트 기관으로 서버 인증서를 가져와 브라우저에서 인증서 오류 메시지가 표시되지 않도록 하는 것이 좋습니다(웹 브라우저에 서버 인증서 가져오기 참조).
- 신뢰할 수 있는 인증서
이 신뢰 저장소는 XClarity Orchestrator이(가) 클라이언트 역할을 할 때 로컬 리소스에 대한 보안 연결을 설정하는 데 사용되는 인증서를 관리합니다. 로컬 리소스의 예로는 관리되는 리소스 관리자, 이벤트 전달 시 로컬 소프트웨어 등이 있습니다.
- 외부 서비스 인증서. 이 신뢰 저장소는 XClarity Orchestrator이(가) 클라이언트 역할을 할 때 외부 서비스와의 보안 연결을 설정하는 데 사용되는 인증서를 관리합니다. 외부 서비스의 예로는 보증 정보를 검색하거나 서비스 티켓을 생성하는 데 사용되는 온라인 Lenovo 지원 서비스, 이벤트를 전달할 수 있는 외부 소프트웨어(예: Splunk)가 있습니다. 여기에는 Digicert 및 Globalsign과 같이 일반적으로 신뢰할 수 있고 잘 알려진 특정 인증 기관 공급자의 루트 인증 기관에서 받은 미리 구성된 신뢰할 수 있는 인증서가 포함됩니다.
다른 외부 서비스에 연결해야 하는 기능을 사용하기 위해 XClarity Orchestrator을(를) 구성하는 경우 설명서를 참고하여 이 신뢰 저장소에 인증서를 수동으로 추가해야 하는지 확인하십시오.
이 신뢰 저장소의 인증서는 기본 신뢰할 수 있는 인증서 신뢰 저장소에 추가하지 않는 한 다른 서비스(예: LDAP)에 대한 연결을 설정할 때 신뢰하지 않습니다. 이 신뢰 저장소에서 인증서를 제거하면 이러한 서비스가 성공적으로 작동하지 않습니다.