제품 설명서
Citrix Hypervisor
8.2 CU1 XenServer 8
PDF 보기

Workload Balancing용 인증서

October 24, 2024
제공:: 
X X

Citrix Hypervisor와 Workload Balancing은 HTTPS를 통해 통신합니다. Workload Balancing 구성 중에 마법사는 자체 서명된 테스트 인증서를 자동으로 생성합니다. 이 자체 서명된 테스트 인증서를 사용하면 Workload Balancing에서 Citrix Hypervisor에 대한 TLS 연결을 설정할 수 있습니다. 기본적으로 Workload Balancing은 Citrix Hypervisor와의 이 TLS 연결을 자동으로 생성합니다. 이 TLS 연결을 생성하기 위해 Workload Balancing을 구성하는 동안 또는 구성 후에 인증서 구성을 수행할 필요가 없습니다.

메모:

자체 서명된 인증서는 HTTPS 통신을 용이하게 하기 위한 자리 표시자이며 신뢰할 수 있는 인증 기관에서 제공한 것이 아닙니다. 보안을 강화하려면 신뢰할 수 있는 인증 기관에서 서명한 인증서를 사용하는 것이 좋습니다.

상업 기관에서 서명한 인증서와 같은 다른 인증 기관의 인증서를 사용하려면 Workload Balancing 및 Citrix Hypervisor를 사용하도록 구성해야 합니다.

기본적으로 Citrix Hypervisor는 Workload Balancing에 대한 연결을 설정하기 전에 인증서의 ID를 확인하지 않습니다. 특정 인증서를 확인하도록 Citrix Hypervisor를 구성하려면 인증서에 서명하는 데 사용된 루트 인증서를 내보냅니다. 인증서를 Citrix Hypervisor에 복사하고 Workload Balancing에 연결할 때 인증서를 확인하도록 Citrix Hypervisor를 구성합니다. Citrix Hypervisor는 이 시나리오에서 클라이언트 역할을 하고 Workload Balancing은 서버 역할을 합니다.

보안 목표에 따라 다음 중 하나를 수행할 수 있습니다.

Citrix Hypervisor는 Workload Balancing 가상 장비가 TLS를 통해 연결할 수 있도록 하기 전에 특정 인증서가 있는지 확인합니다. 이 경우 실제 인증서(개인 키가 있는 인증서)는 Workload Balancing 서버에 있습니다. 서명하는 데 사용된 인증서는 Citrix Hypervisor 풀 마스터에 있습니다.

메모:

인증서 확인은 원치 않는 연결을 방지하도록 설계된 보안 조치입니다. Workload Balancing 인증서는 엄격한 요구 사항을 충족해야 하며 그렇지 않으면 인증서 확인이 성공하지 못합니다. 인증서 확인에 실패하면 Citrix Hypervisor에서 연결을 허용하지 않습니다.

인증서 확인에 성공하려면 Citrix Hypervisor가 인증서를 찾을 것으로 예상하는 특정 위치에 인증서를 저장해야 합니다.

자체 서명된 인증서를 확인하도록 Citrix Hypervisor 구성

Citrix Hypervisor가 Workload Balancing의 연결을 허용하기 전에 Citrix Workload Balancing 자체 서명 인증서가 인증되었는지 확인하도록 Citrix Hypervisor를 구성할 수 있습니다.

중요:

Citrix Workload Balancing 자체 서명된 인증서를 확인하려면 호스트 이름을 사용하여 Workload Balancing에 연결해야 합니다. Workload Balancing 호스트 이름을 찾으려면 호스트 이름 명령을 실행합니다.

자체 서명된 인증서를 확인하도록 Citrix Hypervisor를 구성하려면 다음 단계를 완료하십시오.

  1. 자체 서명된 인증서를 Workload Balancing 가상 장비에서 풀 마스터로 복사합니다. Citrix Workload Balancing 자체 서명 인증서는 다음 위치에 저장됩니다. /etc/ssl/certs/server.pem. 풀 마스터에서 다음 명령을 실행합니다.

      scp root@<wlb-ip>:/etc/ssl/certs/server.pem wlb.pem
<!--NeedCopy-->

  2. 의 진위 여부를 알리는 메시지를 받은 경우 WLB-IP 설정할 수 없음, 유형 계속합니다.

  3. 메시지가 표시되면 Workload Balancing 가상 장비 루트 암호를 입력합니다. 인증서가 현재 디렉터리에 복사됩니다.

  4. 인증서 설치. 인증서를 복사한 디렉터리에서 다음 명령을 실행합니다.

      xe pool-certificate-install filename=wlb.pem
<!--NeedCopy-->

  5. 풀 마스터에서 다음 명령을 실행하여 인증서가 올바르게 설치되었는지 확인합니다.

      xe pool-certificate-list
<!--NeedCopy-->

    인증서를 올바르게 설치한 경우 이 명령의 출력에는 내보낸 루트 인증서가 포함됩니다. 이 명령을 실행하면 설치한 인증서를 포함하여 설치된 모든 TLS 인증서가 나열됩니다.

  6. 마스터의 인증서를 풀의 모든 서버로 동기화하려면 풀 마스터에서 다음 명령을 실행합니다.

      xe pool-certificate-sync
<!--NeedCopy-->

    실행 풀 인증서 동기화 명령을 실행하면 모든 풀 서버의 인증서 및 인증서 해지 목록이 마스터와 동기화됩니다. 이렇게 하면 풀의 모든 서버가 동일한 인증서를 사용합니다.

    이 명령에는 출력이 없습니다. 그러나 이 단계가 성공적으로 작동하지 않으면 다음 단계가 작동하지 않습니다.

  7. Workload Balancing 가상 장비에 연결하기 전에 인증서를 확인하도록 Citrix Hypervisor에 지시합니다. 풀 마스터에서 다음 명령을 실행합니다.

      xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
<!--NeedCopy-->

    팁:

    를 누르기 키는 풀의 UUID를 자동으로 채웁니다.

  8. (선택 사항) 이 절차가 성공적으로 수행되었는지 확인하려면 다음 단계를 수행합니다.

    1. 인증서가 풀의 다른 서버와 동기화되었는지 테스트하려면 풀 인증서 목록 해당 서버에서 명령을 실행합니다.

    2. Citrix Hypervisor가 인증서를 확인하도록 설정되었는지 테스트하려면 풀 매개 변수 가져오기 명령을 사용하여 매개 변수 이름=wlb-verify-cert 매개변수. 예를 들어:

        xe pool-param-get param-name=wlb-verify-cert uuid=uuid_of_pool
<!--NeedCopy-->

인증 기관 인증서를 확인하도록 Citrix Hypervisor 구성

신뢰할 수 있는 인증 기관에서 서명한 인증서를 확인하도록 Citrix Hypervisor를 구성할 수 있습니다.

신뢰할 수 있는 기관 인증서의 경우 Citrix Hypervisor에는 내보낸 인증서 또는 인증서 체인 (중간 및 루트 인증서) 이 필요합니다. .펨 공개 키를 포함하는 형식입니다.

Workload Balancing에서 신뢰할 수 있는 기관 인증서를 사용하도록 하려면 다음 작업을 수행합니다.

  1. 인증 기관에서 서명된 인증서를 가져옵니다..

  2. 새 인증서 지정 및 적용.

  3. 인증서 체인을 풀로 가져오기.

이러한 작업을 시작하기 전에 다음을 확인하십시오.

  • Citrix Hypervisor 풀 마스터의 IP 주소를 알고 있습니다.

  • Citrix Hypervisor는 Workload Balancing 호스트 이름을 확인할 수 있습니다. (예를 들어 풀 마스터에 대한 Citrix Hypervisor 콘솔에서 Workload Balancing FQDN을 ping할 수 있습니다.)

인증 기관에서 서명된 인증서를 가져옵니다

인증 기관에서 인증서를 얻으려면 CSR(인증서 서명 요청)을 생성해야 합니다. Workload Balancing 가상 장비에서 개인 키를 생성하고 해당 개인 키를 사용하여 CSR을 생성합니다.

일반 이름을 지정하기 위한 지침

CSR을 생성할 때 지정하는 CN(일반 이름)은 Workload Balancing 가상 장비의 FQDN과 정확히 일치해야 합니다. 또한 에서 지정한 FQDN 또는 IP 주소와 일치해야 합니다. 주소 의 상자 WLB 서버에 연결 대화 상자.

이름이 일치하는지 확인하려면 다음 지침 중 하나를 사용하여 일반 이름을 지정합니다.

  • 인증서의 일반 이름에 대해 지정한 것과 동일한 정보를 지정합니다. WLB 서버에 연결 대화.

    예를 들어 Workload Balancing 가상 장비의 이름이 wlb-vpx.your도메인지정 wlb-vpx.your도메인 안에 WLB 서버에 연결 대화 상자 및 제공 wlb-vpx.your도메인 CSR을 생성할 때 일반 이름으로.

  • IP 주소로 풀을 Workload Balancing에 연결한 경우 FQDN을 일반 이름으로 사용하고 IP 주소를 SAN(주체 대체 이름)으로 사용합니다. 그러나 이 방법이 모든 상황에서 작동하는 것은 아닙니다.

개인 키 파일 만들기

Workload Balancing 가상 장비에서 다음 단계를 완료합니다.

  1. 개인 키 파일을 만듭니다.

      openssl genrsa -des3 -out privatekey.pem 2048
<!--NeedCopy-->

  2. 암호를 제거합니다.

      openssl rsa -in privatekey.pem -out privatekey.nop.pem
<!--NeedCopy-->

메모:

암호를 잘못 입력하거나 일관되지 않게 입력하면 사용자 인터페이스 오류가 있음을 나타내는 일부 메시지가 나타날 수 있습니다. 메시지를 무시하고 명령을 다시 실행하여 개인 키 파일을 만들 수 있습니다.

인증서 서명 요청 생성

Workload Balancing 가상 장비에서 다음 단계를 완료합니다.

  1. 개인 키를 사용하여 CSR(인증서 서명 요청)을 만듭니다.

      openssl req -new -key privatekey.nop.pem -out csr
<!--NeedCopy-->

  2. 프롬프트에 따라 CSR을 생성하는 데 필요한 정보를 제공합니다.

    국가 이름. 해당 국가의 TLS 인증서 국가 코드를 입력합니다. 예를 들어 캐나다의 경우 CA 또는 자메이카의 경우 JM입니다. 웹에서 TLS 인증서 국가 코드 목록을 찾을 수 있습니다.

    시/도 이름(전체 이름). 풀이 위치한 시/도를 입력합니다. 예를 들어 매사추세츠 또는 앨버타입니다.

    구/군/시 이름. 수영장이 위치한 도시의 이름입니다.

    조직 이름. 회사 또는 조직의 이름입니다.

    조직 구성 단위 이름. 부서 이름을 입력합니다. 이 필드는 선택 사항입니다.

    속칭. Workload Balancing 서버의 FQDN을 입력합니다. 이 값은 풀이 Workload Balancing에 연결하는 데 사용하는 이름과 일치해야 합니다. 자세한 내용은 일반 이름을 지정하기 위한 지침.

    이메일 주소. 이 이메일 주소는 인증서를 생성할 때 인증서에 포함됩니다.

  3. 선택적 속성을 제공하거나 Enter를 클릭하여 이 정보 제공을 건너뜁니다.

    CSR 요청은 현재 디렉토리에 저장되고 이름이 지정됩니다. CSR.

  4. Workload Balancing 장비 콘솔에서 다음 명령을 실행하여 콘솔 창에 CSR을 표시합니다.

      cat csr
<!--NeedCopy-->

  5. 전체 CSR을 복사하여 인증 기관에서 인증서를 요청하는 데 사용합니다.

새 인증서를 지정하고 적용합니다

이 절차를 사용하여 Workload Balancing이 인증 기관의 인증서를 사용하도록 지정합니다. 이 절차에서는 루트 및 중간 인증서(사용 가능한 경우)를 설치합니다.

새 인증서를 지정하려면 다음 단계를 완료하십시오.

  1. 서명된 인증서, 루트 인증서 및 인증 기관에서 중간 인증서를 다운로드합니다(인증 기관에 있음).

  2. 인증서를 Workload Balancing 가상 장비에 직접 다운로드하지 않은 경우 다음 방법 중 하나를 사용하여 인증서를 복사합니다.

    • Windows 컴퓨터에서 WinSCP 또는 다른 복사 유틸리티를 사용합니다.

      호스트 이름의 경우 IP 주소를 입력하고 포트를 기본값으로 둘 수 있습니다. 사용자 이름과 암호는 일반적으로 루트이며 구성 중에 설정한 암호입니다.

    • Linux 컴퓨터에서 Workload Balancing 장비로 SCP 또는 다른 복사 유틸리티를 사용합니다. 예를 들어:

         scp root_ca.pem root@wlb-ip:/path_on_your_WLB
 <!--NeedCopy-->

  3. Workload Balancing 가상 장비에서 모든 인증서(루트 인증서, 중간 인증서 - 있는 경우 및 서명된 인증서)의 내용을 하나의 파일로 병합합니다. 다음 명령을 사용할 수 있습니다.

      cat signed_cert.pem intermediate_ca.pem root_ca.pem > server.pem
<!--NeedCopy-->

  4. move 명령을 사용하여 기존 인증서와 키의 이름을 바꿉니다.

      mv /etc/ssl/certs/server.pem /etc/ssl/certs/server.pem_orig
  mv /etc/ssl/certs/server.key /etc/ssl/certs/server.key_orig
<!--NeedCopy-->

  5. 병합된 인증서를 복사합니다.

      mv server.pem /etc/ssl/certs/server.pem
<!--NeedCopy-->

  6. 이전에 만든 개인 키를 복사합니다.

      mv privatekey.nop.pem /etc/ssl/certs/server.key
<!--NeedCopy-->

  7. 개인 키를 루트만 읽을 수 있도록 합니다. 를 사용하십시오. chmod 님 명령을 사용하여 권한을 수정할 수 있습니다.

      chmod 600 /etc/ssl/certs/server.key
<!--NeedCopy-->

  8. 다시 시작할 스터널:

      killall stunnel
  stunnel
<!--NeedCopy-->

인증서 체인을 풀로 가져오기

인증서를 얻은 후 Citrix Hypervisor 풀 마스터로 가져옵니다. 풀의 서버를 동기화하여 해당 인증서를 사용합니다. 그런 다음 Workload Balancing이 서버에 연결할 때마다 인증서 ID와 유효성을 확인하도록 Citrix Hypervisor를 구성할 수 있습니다.

  1. 서명된 인증서, 루트 인증서 및 인증 기관에 중간 인증서(있는 경우)를 인증 기관의 중간 인증서(Citrix Hypervisor 풀 마스터로 복사합니다.

  2. 풀 마스터에 루트 인증서를 설치합니다.

      xe pool-certificate-install filename=root_ca.pem
<!--NeedCopy-->

  3. 해당하는 경우 풀 마스터에 중간 인증서를 설치합니다.

      xe pool-certificate-install filename=intermediate_ca.pem
<!--NeedCopy-->

  4. 풀 마스터에서 다음 명령을 실행하여 두 인증서가 모두 올바르게 설치되었는지 확인합니다.

      xe pool-certificate-list
<!--NeedCopy-->

    이 명령을 실행하면 설치된 모든 TLS 인증서가 나열됩니다. 인증서가 성공적으로 설치되면 이 목록에 표시됩니다.

  5. 풀 마스터의 인증서를 풀의 모든 서버와 동기화합니다.

      xe pool-certificate-sync
<!--NeedCopy-->

    실행 풀 인증서 동기화 명령을 실행하면 모든 풀 서버의 인증서 및 인증서 해지 목록이 풀 마스터와 동기화됩니다. 이렇게 하면 풀의 모든 서버가 동일한 인증서를 사용합니다.

  6. Workload Balancing 가상 장비에 연결하기 전에 인증서를 확인하도록 Citrix Hypervisor에 지시합니다. 풀 마스터에서 다음 명령을 실행합니다.

      xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
<!--NeedCopy-->

    팁:

    Tab 키를 누르면 풀의 UUID가 자동으로 채워집니다.

  7. 에서 IP 주소를 지정한 경우 WLB에 연결 인증서 확인을 활성화하기 전에 대화 상자에서 풀을 Workload Balancing에 다시 연결하라는 메시지가 표시될 수 있습니다.

    에서 Workload Balancing 장비의 FQDN을 지정합니다. 주소 안에 WLB에 연결 인증서의 일반 이름에 표시되는 대로 대화 상자가 표시됩니다. FQDN을 입력하여 일반 이름이 Citrix Hypervisor가 연결하는 데 사용하는 이름과 일치하는지 확인합니다.

문제 해결

  • 풀이 Workload Balancing에 연결할 수 없는 경우 인증서 확인을 비활성화합니다.

    1. 풀 UUID를 가져옵니다.

        xe pool-list
<!--NeedCopy-->

    2. 인증서 확인 비활성화:

        xe pool-param-set wlb-verify-cert=false uuid=uuid_of_pool
<!--NeedCopy-->

    풀이 인증서 검증이 꺼진 상태에서 Workload Balancing에 연결할 수 있는 경우 인증서 구성에 문제가 있는 것입니다. 연결할 수 없는 경우 Workload Balancing 자격 증명 또는 네트워크 연결에 문제가 있는 것입니다. 지원팀에 문의하거나 다음을 참조하십시오. Workload Balancing 문제 해결 자세한 내용은.

  • 일부 상용 인증 기관은 인증서가 올바르게 설치되었는지 확인하는 도구를 제공합니다. 이러한 절차가 문제를 격리하는 데 도움이 되지 않는 경우 이러한 도구를 실행하는 것이 좋습니다. 이러한 도구에서 TLS 포트를 지정해야 하는 경우 포트 8012 또는 Workload Balancing 구성 중에 설정한 포트를 지정합니다.

  • 만약에 증권 시세 표시기 탭에 연결 오류가 표시되면 인증서 일반 이름과 Workload Balancing 가상 장비의 이름 간에 충돌이 있을 수 있습니다. Workload Balancing 가상 장비 이름과 인증서의 일반 이름이 정확히 일치해야 합니다.

자세한 내용은 문제 해결.

Workload Balancing용 인증서
October 24, 2024
제공:: 
X X
October 24, 2024
제공:: 
X X

이 문서

사이트 피드백 | Your privacy choices footer link개인정보 선택 사항 | 개인 정보 보호 및 법적 조건 | 동의 설정 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.