본문으로 건너뛰기

신뢰할 수 있으며 외부에서 서명된 XClarity Management Hub 2.0 서버 인증서 설치

개인 또는 상업용 인증 기관(CA)에서 서명한 신뢰할 수 있는 서버 인증서를 사용할 수 있습니다. 외부 서명된 서버 인증서를 사용하려면 CSR(인증서 서명 요청)을 생성한 다음 나타나는 서버 인증서를 가져와서 기존 서버 인증서를 교체하십시오.

검토자: Corneliu P, Stefan J, 2023년 12월 4일

고려사항

주의
  • 새 루트 CA를 사용하여 외부에서 서명된 서버 인증서를 설치하면 관리 허브에서 관리되는 장치에 대한 연결이 해제되고 장치를 다시 관리해야 합니다. 루트 CA를 변경하지 않고 외부에서 서명된 서버 인증서를 설치하는 경우(예: 인증서가 만료된 경우) 장치를 다시 관리하지 않아도 됩니다.

  • CSR이 생성된 후 서명된 서버 인증서를 가져오기 전에 새 장치를 추가하는 경우 새 서버 인증서를 받으려면 해당 장치를 다시 시작해야 합니다.

가장 좋은 방법은 항상 v3 서명 인증서를 사용하는 것입니다.

외부에서 서명된 서버 인증서는 관리 허브에서 가장 최근 생성된 인증서 서명 요청에서 생성되어야 합니다.

외부 서명된 서버 인증서 내용은 CA의 루트 인증서, 모든 중간 인증서 및 서버 인증서를 포함한 전체 CA 서명 체인을 포함하는 인증서 번들이어야 합니다.

새 서버 인증서가 신뢰할 수 있는 타사의 서명을 받지 않은 경우, 다음번 XClarity Management Hub 2.0에 연결할 때 브라우저에는 보안 메시지와 새 인증서를 브라우저에 허용하도록 하는 대화 상자가 표시됩니다. 보안 메시지를 방지하려면 서버 인증서를 웹 브라우저의 신뢰할 수 있는 인증서 목록에 가져올 수 있습니다(웹 브라우저에 XClarity Management Hub 2.0 서버 인증서 가져오기 참조).

새 인증서를 수락하기 위해 웹 브라우저가 자동으로 새로 고침됩니다.

신뢰할 수 있고 외부에서 서명된 서버 인증서 설치

외부 서명된 서버 인증서를 생성하려면 다음 단계를 완료하십시오.

  1. 인증서 서명 요청을 작성하고 파일을 로컬 시스템에 저장하십시오.

    1. 보안 보기의 컨텍스트 메뉴에서 인증서를 클릭하십시오.

    2. 인증서 서명 요청(CSR) 생성 패널에서 각 필드에 값을 입력한 다음 CSR 파일 생성을 클릭합니다.

      • 조직은 일반적으로 인증서를 소유한 회사의 법적 법인 이름입니다. Ltd., Inc. 또는 Corp(예: ACME International Ltd.)와 같은 접미사를 포함합니다.

      • 조직 단위는 인증서를 소유한 회사의 부서입니다(예: ABC 부서).

      • 일반적으로 일반 이름은 인증서를 사용하는 서버의 FQDN(정규화된 도메인 이름) 또는 IP 주소입니다(예: www.domainname.com 또는 192.0.2.0). 이 필드 값의 길이는 63자 이하여야 합니다.

      • 결과 CSR의 X.509 "subjectAltName" 확장자에서 주체 대체 이름을 사용자 지정할 수 있습니다. CSR에 하나 이상의 주체 대체 이름을 제공하는 경우 제공된 주체 대체 이름만 CSR에 저장됩니다. 다음 유형에 대해 주체 대체 이름을 제공할 수 있습니다. 선택한 유형에 대해 지정한 이름이 유효한지 확인합니다. 지정된 대체 대안 이름은 지정된 유형에 따라 검증되고 CSR 생성 후 CSR에 추가됩니다.

        • DNS(호스트 이름 또는 FQDN 사용, 예: hostname.labs.company.com)
        • IP 주소(예: 192.0.2.0)
        • 이메일(예: example@company.com)
        주체 대체 이름이 제공되지 않으면 관리 허브의 기본 이름과 유형이 사용됩니다.
        • IP 주소. 현재 관리 허브 IP 주소

        • DNS 이름. 관리 허브 호스트 이름

        • DNS 이름. 관리 허브 FQDN(도메인 이름이 제공된 경우). 제공되지 않은 경우 비어 있습니다.

        주의
        주체 대체 이름에는 호스트 이름 또는 FQDN(정규화된 도메인 이름), 관리 허브의 IP 주소가 포함되어야 하며 주체 이름은 호스트 이름 또는 관리 허브의 FQDN으로 설정되어야 합니다. 결과 인증서가 완전한지 확인하기 위해 CSR 프로세스를 시작하기 전에 이러한 필수 필드가 존재하고 올바른지 확인하십시오. 인증서 데이터가 누락되면 관리 허브를 Lenovo XClarity Orchestrator에 연결하려고 시도할 때 연결이 신뢰할 수 없게 될 수 있습니다.
      중요사항
      • 계속 진행하기 전에 먼저 새로 생성된 인증서에 주체 대체 이름의 일부로 FQDN 및 IP 주소가 포함되어 있는지 확인하십시오.

      • 새로 생성된 인증서가 서버 인증서클라이언트 인증서로 사용되도록 구성되었는지 확인합니다.

  2. CSR을 신뢰할 수 있는 인증 기관(CA)에 제공하십시오. CA는 CSR에 서명하고 서버 인증서로 응답합니다.

    주의
    CSR에 저장된 모든 주체 대체 이름은 CSR 서명 및 웹 인증서 생성에 사용되어야 합니다.
  3. 외부에서 서명된 서버 인증서 및 CA 인증서를 XClarity Management Hub 2.0에 가져와 현재 서버 인증서를 교체하십시오.

    1. 인증서 서명 요청(CSR) 패널에서 인증서 가져오기를 클릭하면 인증서 가져오기 대화 상자가 표시됩니다.

    2. 외부에서 서명된 서버 인증서를 PEM 형식으로 삽입합니다. 서버 인증서로 시작하여 루트 CA 인증서로 끝나는 전체 인증서 체인을 제공해야 합니다.

    3. 가져오기를 클릭하여 서버 인증서를 관리 허브 신뢰 저장소에 보관하십시오.

      주의
      관리 허브의 CSR에 저장된 주체 대체 이름은 가져오는 서버 인증서에 저장된 주체 대체 이름과 정확히 일치해야 합니다. 일치하지 않으면(예: CSR/서명된 인증서의 IP 주소가 관리 허브의 IP 주소와 동일하지 않은 경우) 서버 인증서 가져오기 및 설치는 완료되지만 신뢰할 수 없는 연결이 발생할 수 있습니다(예: 사용자 인터페이스에 액세스 불가).