파트너 클러스터의 인증서 설치 방법

이 절차는 클러스터 cluster-paris의 노드 phys-paris-1 및 phys-paris-2와 클러스터 cluster-newyork의 노드 phys-newyork-1 및 phys-newyork-2를 참조합니다.

시작하기 전에

다음의 Network Security Services 소프트웨어 패키지가 설치되어 있는지 확인하십시오.

• SUNWpr, 4.5.0 버전

• SUNWprx

• SUNWtls, 3.9.4 버전

• SUNWtlsu

단계

1. 각 클러스터의 1개의 노드에 클러스터 cluster-paris의 phys-paris-1 및 클러스터 cluster-newyork의 phys-newyork-1은 다음과 같은 작업을 완료합니다.

   1. 클러스터의 한 노드에 루트로 로그인합니다.

   2. 일반 에이전트 캐리어를 중지합니다.

      # /opt/SUNWcacao/bin/cacaoadm stop

   3. JSSE/NSS 키 및 인증서를 재생성합니다.

      이 절차는 /etc/opt/SUNWcacao/security/nss/localca/localca.cert 파일을 작성합니다. 키가 읽히는 동안, localca.cert 파일은 임시 저장소로 사용됩니다.

      # /opt/SUNWcacao/bin/cacaoadm create-keys

   로컬 trustore의 모든 기타 키를 삭제하려면 --force 옵션을 사용합니다. --force 옵션을 사용하는 경우, 이 절차를 완료한 후 이러한 키를 다시 추가해야 합니다.

   키 겹쳐쓰기를 막으려면 --directory 옵션을 사용하여 기본 보안 디렉토리로부터 다른 디렉토리의 이 파일을 생성할 수 있습니다. 그러나, 일반 에이전트 캐리어만 기본 디렉토리로부터 키를 사용함으로 이후에 기본 디렉토리의 파일로 생성하는 키를 추가하는데 필요하게 됩니다.

   일단 클러스터가 구성되면 create-keys - -force 명령을 실행하는 해당 단계를 반복하지 않습니다. 그렇지 않으면 이전에 구성된 인증서는 손실됩니다.

   일반 에이전트 캐리어 키 및 인증서의 재생성에 대한 자세한 내용은 Solaris OS용 Sun Cluster 시스템 관리 설명서의 Sun Cluster System Administration Guide for Solaris OS의 How to Configure a New Security Certificate.

2. 노드 phys-paris-1 과 phys-newyork-1 사이의 로컬 인증서 권한을 교환합니다

   1. 노드 phys-paris-1에서 인증 디렉토리로 해당 디렉토리를 변경합니다.

      phys-paris-1# cd /etc/opt/SUNWcacao/security/nss/localca

   2. 노드 localca.cert에서 노드 phys-paris-1로 인증서 파일을 복사합니다.

      본 절차는 다음의 파일 클러스터에서 언급된 것처럼localca.cert 파일을 localca.cert.cluster-paris 파일로 이름 변경 합니다.

      phys-paris-1# rcp localca.cert \ phys-newyork-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-paris

   3. 파일을 복사한 노드 phys-newyork-1의 디렉토리로 변경합니다.

      phys-newyork-1# cd /etc/opt/SUNWcacao/security/jsse

   4. localca.cert.cluster-paris 파일에서 노드 phys-newyork-1의 로컬 키스토어로 인증서를 가져옵니다.

      이 절차는 cluster-paris 에서 phys-newyork-1 node of cluster-newyork 로 공개키를 로드합니다.

      ---

      주 –

      이 절차를 수행하려면 /etc/opt/SUNWcacao/security/jsse 디렉토리에 있어야 합니다.

      ---

      phys-newyork-1# keytool -import -v -alias cluster-paris -keystore truststore \ -file localca.cert.cluster-paris

      keytool 명령의 truststore 매개변수는 파일을 복사한 디렉토리에 있는 파일입니다. -alias 옵션은 인증서가 생성된 원격 클러스터의 클러스터 이름을 지정합니다.

      키스토어 암호에 대해 물을 때 trustpass를 입력합니다. trustpass 암호는 일반 에이전트 캐리어가 제공하는 비보안 암호입니다. truststore 매개변수는 공용 및 개인 쌍의 공용 키를 보유하므로 확실한 보안이 필요하지 않습니다.

      인증서를 신뢰할 수 있는지 물을 때 yes를 입력합니다.

   5. 인증서가 키스토어로 올바르게 추가되었는지 확인합니다.

      phys-newyork-1# keytool -list -v -keystore truststore

3. 노드 phys-newyork-1 과 phys-paris-1 사이의 로컬 인증서 권한을 교환합니다.

   1. 노드 phys-newyork-1의 인증서 디렉토리로 변경합니다.

      phys-newyork-1# cd /etc/opt/SUNWcacao/security/nss/localca

      가져온 인증서는 localca.cert 파일에 있습니다.

   2. 인증서 파일을 노드 phys-newyork-1에서 노드 phys-paris-1로 복사합니다.

      이 절차는 파일이 어느 클러스터에서 오는 지 언급하기 위해 localca.cert를 localca.cert.cluster-newyork로 이름 변경합니다.

      # rcp localca.cert \ phys-paris-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-newyork

   3. 파일을 복사한 노드 phys-paris-1의 디렉토리로 변경합니다.

      phys-paris-1# cd /etc/opt/SUNWcacao/security/jsse

   4. 인증서를 노드 phys-paris-1의 로컬 키스토어로 가져옵니다.

      ---

      주 –

      이 절차를 수행하려면 /etc/opt/SUNWcacao/security/jsse 디렉토리에 있어야 합니다.

      ---

      phys-paris-1# keytool -import -v -alias cluster-newyork -keystore truststore \ -file localca.cert.cluster-newyork

      keytool의 truststore 매개변수는 파일을 복사한 디렉토리에 있는 파일입니다. -alias 옵션은 인증서가 생성된 원격 클러스터의 클러스터 이름을 지정합니다.

      키스토어 암호에 대해 물을 때 trustpass를 입력합니다. trustpass 암호는 일반 에이전트 캐리어가 제공하는 비보안 암호입니다. truststore 매개변수는 공용 및 개인 쌍의 공용 키를 보유하므로 확실한 보안이 필요하지 않습니다.

      인증서를 신뢰할 수 있는지 물을 때 yes를 입력합니다.

   5. 인증서가 키스토어로 올바르게 추가되었는지 확인합니다.

      phys-paris-1# keytool -list -v -keystore truststore

4. 노드 phys-paris-1을 제외하고 클러스터 cluster-paris의 각 노드에 /etc/opt/SUNWcacao/security/ 디렉토리 및 노드 phys-paris-1에서 /etc/opt/SUNWcacao/ 디렉토리로 검색되는 모든 하위디렉토리를 복사합니다.

   phys-paris-2# cd /etc/opt/SUNWcacao phys-paris-2# rcp -r phys-paris-1:/etc/opt/SUNWcacao/security .

5. 노드 phys-newyork-1을 제외하고 클러스터 cluster-newyork의 각 노드에 /etc/opt/SUNWcacao/security 디렉토리 및 노드 phys-newyork-1에서 /etc/opt/SUNWcacao/security로 검색되는 모든 하위디렉토리를 복사합니다.

   phys-newyork-2# cd /etc/opt/SUNWcacao phys-newyork-2# rcp -r phys-newyork-1:/etc/opt/SUNWcacao/security .

6. 각 클러스터의 각 노드에 인증서가 올바르게 추가되었는지 확인합니다.

   ---

   주 –

   보안 디렉토리를 복사한 후, 한 클러스터의 모든 노드에 keytool list 명령의 결과는 로컬 및 원격 키에 대해 동일한 값을 표시합니다. 원격 클러스터의 모든 노드는 동일한 값을 표시하지만, 로컬 및 원격 태그는교환됩니다.

   ---

   # cd /etc/opt/SUNWcacao/security/jsse # keytool -list -v -keystore truststore

7. 각 클러스터의 각 노드에 일반 에이전트 캐리어를 다시 시작합니다.

   # /opt/SUNWcacao/bin/cacaoadm start