보안 구성

두 파트너 클러스터 간의 보안 관리 통신을 위한 Sun Cluster Geographic Edition 소프트웨어를 구성해야 합니다. 구성이 호환 가능해야 합니다. 예를 들어, 클러스터 cluster-paris의 각 노드는 클러스터 cluster-newyork의 각 노드를 인증하도록 구성되어야 합니다.

클러스터 구성의 예제를 보려면 Sun Cluster Geographic Edition 시스템 관리 설명서의 Sun Cluster Geographic Edition 시스템 관리 설명서의 클러스터 구성 예.

클러스터의 노드가 내부 클러스터 통신에 대한 Sun Cluster Geographic Edition 기반 구조 자원 그룹 및 논리 호스트이름을 호스트할 수 있으므로 파트너에 대한 인증된 호스트 인증서가 클러스터의 모든 노드에 구성되어야 합니다.

/usr/j2se/bin/keytool 명령을 사용하여 인증된 호스트 인증서를 구성합니다.

파트너 클러스터의 인증서 설치 방법

이 절차는 클러스터 cluster-paris의 노드 phys-paris-1 및 phys-paris-2와 클러스터 cluster-newyork의 노드 phys-newyork-1 및 phys-newyork-2를 참조합니다.

시작하기 전에

다음의 Network Security Services 소프트웨어 패키지가 설치되어 있는지 확인하십시오.

• SUNWpr, 4.5.0 버전

• SUNWprx

• SUNWtls, 3.9.4 버전

• SUNWtlsu

단계

1. 각 클러스터의 1개의 노드에 클러스터 cluster-paris의 phys-paris-1 및 클러스터 cluster-newyork의 phys-newyork-1은 다음과 같은 작업을 완료합니다.

   1. 클러스터의 한 노드에 루트로 로그인합니다.

   2. 일반 에이전트 캐리어를 중지합니다.

      # /opt/SUNWcacao/bin/cacaoadm stop

   3. JSSE/NSS 키 및 인증서를 재생성합니다.

      이 절차는 /etc/opt/SUNWcacao/security/nss/localca/localca.cert 파일을 작성합니다. 키가 읽히는 동안, localca.cert 파일은 임시 저장소로 사용됩니다.

      # /opt/SUNWcacao/bin/cacaoadm create-keys

   로컬 trustore의 모든 기타 키를 삭제하려면 --force 옵션을 사용합니다. --force 옵션을 사용하는 경우, 이 절차를 완료한 후 이러한 키를 다시 추가해야 합니다.

   키 겹쳐쓰기를 막으려면 --directory 옵션을 사용하여 기본 보안 디렉토리로부터 다른 디렉토리의 이 파일을 생성할 수 있습니다. 그러나, 일반 에이전트 캐리어만 기본 디렉토리로부터 키를 사용함으로 이후에 기본 디렉토리의 파일로 생성하는 키를 추가하는데 필요하게 됩니다.

   일단 클러스터가 구성되면 create-keys - -force 명령을 실행하는 해당 단계를 반복하지 않습니다. 그렇지 않으면 이전에 구성된 인증서는 손실됩니다.

   일반 에이전트 캐리어 키 및 인증서의 재생성에 대한 자세한 내용은 Solaris OS용 Sun Cluster 시스템 관리 설명서의 Sun Cluster System Administration Guide for Solaris OS의 How to Configure a New Security Certificate.

2. 노드 phys-paris-1 과 phys-newyork-1 사이의 로컬 인증서 권한을 교환합니다

   1. 노드 phys-paris-1에서 인증 디렉토리로 해당 디렉토리를 변경합니다.

      phys-paris-1# cd /etc/opt/SUNWcacao/security/nss/localca

   2. 노드 localca.cert에서 노드 phys-paris-1로 인증서 파일을 복사합니다.

      본 절차는 다음의 파일 클러스터에서 언급된 것처럼localca.cert 파일을 localca.cert.cluster-paris 파일로 이름 변경 합니다.

      phys-paris-1# rcp localca.cert \ phys-newyork-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-paris

   3. 파일을 복사한 노드 phys-newyork-1의 디렉토리로 변경합니다.

      phys-newyork-1# cd /etc/opt/SUNWcacao/security/jsse

   4. localca.cert.cluster-paris 파일에서 노드 phys-newyork-1의 로컬 키스토어로 인증서를 가져옵니다.

      이 절차는 cluster-paris 에서 phys-newyork-1 node of cluster-newyork 로 공개키를 로드합니다.

      ---

      주 –

      이 절차를 수행하려면 /etc/opt/SUNWcacao/security/jsse 디렉토리에 있어야 합니다.

      ---

      phys-newyork-1# keytool -import -v -alias cluster-paris -keystore truststore \ -file localca.cert.cluster-paris

      keytool 명령의 truststore 매개변수는 파일을 복사한 디렉토리에 있는 파일입니다. -alias 옵션은 인증서가 생성된 원격 클러스터의 클러스터 이름을 지정합니다.

      키스토어 암호에 대해 물을 때 trustpass를 입력합니다. trustpass 암호는 일반 에이전트 캐리어가 제공하는 비보안 암호입니다. truststore 매개변수는 공용 및 개인 쌍의 공용 키를 보유하므로 확실한 보안이 필요하지 않습니다.

      인증서를 신뢰할 수 있는지 물을 때 yes를 입력합니다.

   5. 인증서가 키스토어로 올바르게 추가되었는지 확인합니다.

      phys-newyork-1# keytool -list -v -keystore truststore

3. 노드 phys-newyork-1 과 phys-paris-1 사이의 로컬 인증서 권한을 교환합니다.

   1. 노드 phys-newyork-1의 인증서 디렉토리로 변경합니다.

      phys-newyork-1# cd /etc/opt/SUNWcacao/security/nss/localca

      가져온 인증서는 localca.cert 파일에 있습니다.

   2. 인증서 파일을 노드 phys-newyork-1에서 노드 phys-paris-1로 복사합니다.

      이 절차는 파일이 어느 클러스터에서 오는 지 언급하기 위해 localca.cert를 localca.cert.cluster-newyork로 이름 변경합니다.

      # rcp localca.cert \ phys-paris-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-newyork

   3. 파일을 복사한 노드 phys-paris-1의 디렉토리로 변경합니다.

      phys-paris-1# cd /etc/opt/SUNWcacao/security/jsse

   4. 인증서를 노드 phys-paris-1의 로컬 키스토어로 가져옵니다.

      ---

      주 –

      이 절차를 수행하려면 /etc/opt/SUNWcacao/security/jsse 디렉토리에 있어야 합니다.

      ---

      phys-paris-1# keytool -import -v -alias cluster-newyork -keystore truststore \ -file localca.cert.cluster-newyork

      keytool의 truststore 매개변수는 파일을 복사한 디렉토리에 있는 파일입니다. -alias 옵션은 인증서가 생성된 원격 클러스터의 클러스터 이름을 지정합니다.

      키스토어 암호에 대해 물을 때 trustpass를 입력합니다. trustpass 암호는 일반 에이전트 캐리어가 제공하는 비보안 암호입니다. truststore 매개변수는 공용 및 개인 쌍의 공용 키를 보유하므로 확실한 보안이 필요하지 않습니다.

      인증서를 신뢰할 수 있는지 물을 때 yes를 입력합니다.

   5. 인증서가 키스토어로 올바르게 추가되었는지 확인합니다.

      phys-paris-1# keytool -list -v -keystore truststore

4. 노드 phys-paris-1을 제외하고 클러스터 cluster-paris의 각 노드에 /etc/opt/SUNWcacao/security/ 디렉토리 및 노드 phys-paris-1에서 /etc/opt/SUNWcacao/ 디렉토리로 검색되는 모든 하위디렉토리를 복사합니다.

   phys-paris-2# cd /etc/opt/SUNWcacao phys-paris-2# rcp -r phys-paris-1:/etc/opt/SUNWcacao/security .

5. 노드 phys-newyork-1을 제외하고 클러스터 cluster-newyork의 각 노드에 /etc/opt/SUNWcacao/security 디렉토리 및 노드 phys-newyork-1에서 /etc/opt/SUNWcacao/security로 검색되는 모든 하위디렉토리를 복사합니다.

   phys-newyork-2# cd /etc/opt/SUNWcacao phys-newyork-2# rcp -r phys-newyork-1:/etc/opt/SUNWcacao/security .

6. 각 클러스터의 각 노드에 인증서가 올바르게 추가되었는지 확인합니다.

   ---

   주 –

   보안 디렉토리를 복사한 후, 한 클러스터의 모든 노드에 keytool list 명령의 결과는 로컬 및 원격 키에 대해 동일한 값을 표시합니다. 원격 클러스터의 모든 노드는 동일한 값을 표시하지만, 로컬 및 원격 태그는교환됩니다.

   ---

   # cd /etc/opt/SUNWcacao/security/jsse # keytool -list -v -keystore truststore

7. 각 클러스터의 각 노드에 일반 에이전트 캐리어를 다시 시작합니다.

   # /opt/SUNWcacao/bin/cacaoadm start