XenServer

인증서 확인

풀에 대해 인증서 확인이 활성화되면 해당 관리 네트워크의 모든 TLS 통신 끝점은 기밀 정보를 전송하기 전에 인증서를 사용하여 피어의 ID를 확인합니다.

동작

관리 네트워크에서 XenServer 호스트에 의해 시작된 연결의 경우 대상 엔드포인트가 ID를 확인하기 위해 TLS 인증서를 제공해야 합니다. 이 요구 사항은 풀의 일부이거나 풀과 상호 작용하는 다음 항목에 영향을 줍니다.

  • 풀 내 호스트
  • XenCenter
  • API를 사용하는 타사 클라이언트

인증서 확인은 XenServer에서 제공하는 자체 서명된 인증서와 신뢰할 수 있는 기관에서 서명한 사용자 설치 인증서 모두와 호환됩니다. 자세한 내용은 호스트에 TLS 인증서 설치를 참조하십시오.

풀의 각 XenServer 호스트에는 이를 식별하는 두 개의 인증서가 있습니다.

  • 풀 내부 ID 인증서는 풀 내의 호스트 간 통신을 보호하는 데 사용됩니다. 풀 내 통신의 경우 XenServer는 항상 자체 서명된 인증서를 사용합니다.

  • 서버 ID 인증서는 관리 네트워크의 풀과 통신하는 클라이언트 응용 프로그램에 대한 XenServer 호스트 ID를 확인하는 데 사용됩니다. 호스트와 클라이언트 응용 프로그램 간의 통신을 위해 자체 서명된 인증서를 사용하거나 호스트에 자체 TLS 인증서를 설치할 수 있습니다.

호스트가 풀에 처음 가입하거나 클라이언트가 먼저 풀에 연결할 때 풀은 연결을 신뢰합니다. 이 첫 번째 연결 중에 인증서는 풀과 가입 호스트 또는 연결 클라이언트 간에 교환됩니다. 관리 네트워크에서 이 호스트 또는 클라이언트에 의한 모든 후속 통신의 경우 인증서는 통신에 관련된 당사자의 ID를 확인하는 데 사용됩니다.

모든 호스트와 풀에서 인증서 확인을 활성화하는 것이 좋습니다. XenServer 호스트가 풀에 성공적으로 참여하려면 호스트와 풀 모두에서 인증서 검증을 활성화하거나 비활성화해야 합니다. 한 쪽에서는 인증서 확인이 활성화되고 다른 쪽에서는 활성화되지 않은 경우 가입 작업이 실패합니다. XenCenter는 풀 또는 가입 호스트에서 인증서 확인을 활성화하도록 권장하는 경고 메시지를 제공합니다.

호스트가 인증서 확인이 설정된 상태에서 풀을 떠나면 호스트와 풀 모두 다른 호스트와 관련된 인증서를 삭제합니다.

Workload Balancing 가상 장비를 인증서 확인과 함께 사용할 수 있습니다. Workload Balancing 자체 서명 인증서가 XenServer 호스트에 설치되어 있는지 확인해야 합니다.

XenServer Conversion Manager 가상 장비는 XenServer 호스트에 연결되지 않으므로 TLS 클라이언트 끝점 역할을 하는 경우 인증 검사 요구 사항에서 제외됩니다.

풀에 대한 인증서 확인 활성화

인증서 확인은 XenServer 8 이상을 새로 설치할 때 기본적으로 사용하도록 설정됩니다. 이전 버전의 XenServer 또는 Citrix Hypervisor에서 업그레이드하는 경우 인증서 확인이 자동으로 활성화되지 않으므로 이를 사용하도록 설정해야 합니다. 다음에 업그레이드된 풀에 연결할 때 인증서 확인을 사용하도록 설정하라는 메시지가 XenCenter에 표시됩니다.

풀에서 인증서 확인을 사용하도록 설정하기 전에 풀에서 실행 중인 작업이 없는지 확인합니다.

XenCenter를 사용하여 활성화

XenCenter는 인증서 확인을 활성화하는 여러 가지 방법을 제공합니다.

  • 인증서 확인을 사용하도록 설정하지 않고 XenCenter를 풀에 처음 연결하면 활성화하라는 메시지가 표시됩니다. 예, 인증서 확인 사용을 클릭합니다.

  • 메뉴에서 인증서 확인 사용을 선택합니다.

  • 풀의 일반 탭에서 인증서 확인 항목을 마우스 오른쪽 단추로 클릭하고 메뉴에서 인증서 확인 사용을 선택합니다.

xe CLI를 사용하여 활성화

풀에 대한 인증서 확인을 활성화하려면 풀에 있는 호스트의 콘솔에서 다음 명령을 실행합니다.

xe pool-enable-tls-verification

인증서 관리

호스트의 ID를 확인하는 데 사용되는 인증서를 설치하고, 정보를 보고, 재설정할 수 있습니다.

인증서 설치

관리 네트워크의 클라이언트 응용 프로그램으로부터 연결을 받을 때 호스트가 ID 인증서로 표시되도록 자체 TLS 인증서를 설치할 수 있습니다.

자세한 내용은 호스트에 TLS 인증서 설치를 참조하십시오.

인증서 정보 보기

풀에 인증서 확인이 활성화되어 있는지 확인하려면 다음을 수행하십시오.

  • XenCenter에서 풀의 일반 탭을 확인합니다. 일반 섹션에는 인증서 확인의 활성화 여부를 보여주는 인증서 확인 항목이 있습니다. 이 탭에는 CA 인증서의 이름, 유효성 및 지문을 나열하는 인증서 섹션도 포함되어 있습니다.

  • xe CLI를 사용하여 다음 명령을 실행할 수 있습니다.

     xe pool-param-get uuid=<pool_uuid> param-name=tls-verification-enabled
    

    인증서 확인이 활성화된 경우 명령 출력에 tls-verification-enabled ( RO): true 줄이 나타납니다.

XenServer 호스트의 인증서에 대한 정보를 보려면 다음을 수행하십시오.

  • XenCenter에서 해당 호스트의 일반 탭으로 이동합니다. 인증서 섹션에는 서버 ID 인증서 및 풀 내부 ID 인증서의 지문과 유효 날짜가 표시됩니다.

  • xe CLI를 사용하여 다음 명령을 실행할 수 있습니다.

     xe certificate-list
    

풀 내부 ID 인증서 새로 고침

xe CLI를 사용하여 풀 내부 ID 인증서를 새로 고칠 수 있습니다.

  1. 다음 명령을 실행하여 인증서를 재설정할 호스트의 UUID를 찾습니다.

    xe host-list
    
  2. 인증서를 재설정하려면 다음 명령을 실행합니다.

    xe host-refresh-server-certificate host=<host_uuid>
    

    참고:

    모든 호스트 선택기 매개 변수를 이 명령과 함께 사용하여 인증서를 재설정할 호스트를 나타낼 수 있습니다.

서버 ID 인증서 재설정

XenCenter 또는 xe CLI에서 서버 ID 인증서를 재설정할 수 있습니다. 인증서를 재설정하면 호스트에서 인증서가 삭제되고 새 자체 서명 인증서가 호스트에 설치됩니다.

XenCenter에서 인증서를 재설정하는 방법

  1. 호스트의 일반 탭으로 이동합니다.
  2. 인증서 섹션에서 재설정하려는 인증서를 마우스 오른쪽 버튼으로 클릭합니다.
  3. 메뉴에서 인증서 재설정을 선택합니다.
  4. 대화 상자가 나타나면 를 클릭하여 인증서 재설정을 확인합니다.

또는 서버 메뉴에서 인증서 > 인증서 재설정으로 이동할 수 있습니다.

인증서를 재설정하면 XenCenter와 호스트 간의 연결을 포함하여 XenServer 호스트에 대한 기존 연결이 모두 끊어집니다. XenCenter는 인증서를 재설정한 후 호스트에 자동으로 다시 연결합니다.

xe CLI를 사용하여 인증서를 재설정하려면:

  1. 다음 명령을 실행하여 인증서를 재설정할 호스트의 UUID를 찾습니다.

    xe host-list
    
  2. 인증서를 재설정하려면 다음 명령을 실행합니다.

    xe host-reset-server-certificate host=<host_uuid>
    

    참고:

    이 명령과 함께 모든 호스트 선택기 매개 변수를 사용하여 인증서를 재설정할 XenServer 호스트를 지정할 수 있습니다.

인증서를 재설정하면 XenCenter와 호스트 간의 연결을 포함하여 XenServer 호스트에 대한 기존 연결이 모두 끊어집니다. XenCenter는 인증서를 재설정한 후 호스트에 자동으로 다시 연결합니다.

만료 알림

XenCenter는 서버 ID 인증서, 풀 내부 ID 인증서 또는 풀 CA 인증서가 만료 날짜에 가까워지면 알림 보기에 경고를 표시합니다.

일시적으로 인증서 확인 비활성화

호스트 또는 풀에서 사용하도록 설정한 후에는 인증서 확인을 비활성화하지 않는 것이 좋습니다. 하지만 XenServer는 인증서 문제를 해결할 때 호스트별로 인증서 확인을 사용하지 않도록 설정하는 데 사용할 수 있는 명령을 제공합니다.

인증서 확인을 일시적으로 비활성화하려면 호스트 콘솔에서 다음 명령을 실행합니다.

xe host-emergency-disable-tls-verification

XenCenter는 해당 기능이 사용하도록 설정된 풀의 호스트에서 인증서 확인이 비활성화된 경우 알림 보기에 경고를 표시합니다.

호스트의 인증서 관련 문제를 해결한 후에는 호스트에서 인증서 확인을 다시 활성화해야 합니다. 인증서 확인을 다시 활성화하려면 호스트 콘솔에서 다음 명령을 실행합니다.

xe host-emergency-reenable-tls-verification
인증서 확인