TLS 인증서를 다시 만들고 Prisma Cloud Compute Console에서 구성 어떻게 해야 하나요?
5913
Created On 09/19/23 08:57 AM - Last Modified 01/03/25 05:10 AM
Objective
TLS 인증서 생성/서명 과정에서 오류가 발생하여 TLS 컴퓨트 인증서를 구성할 수 없는 문제가 종종 발생했습니다. 따라서 이 문서는 인증서 생성과 컴퓨트 UI에서 인증서 구성 에 관련된 단계를 설명하고 도움을 주기 위한 것입니다. 이러한 인증서는 자체 서명된 CA이므로 인정된 기관에서 서명하지 않았다는 점에 유의하세요. 따라서 브라우저에 디폴트 으로 설치되지 않으므로 '신뢰할 수 없는 인증 ' 경고가 표시될 수 있습니다.
Environment
-
Prisma Cloud 자체 호스팅
Procedure
- Firstly, in order to do all of these things, we need to have
opensslinstalled in our host.
재생성할 인증서:
-
console-cert.pem
- 콘솔-키.pem
대상 디렉터리: /var/lib/twistlock/custom-certificates
이 지침의 목적상, 대상 디렉토리로 전송되기 전에 모든 파일이 다른 폴더에 생성되어 저장됩니다.
mkdir /var/lib/twistlock/certs-new cd /var/lib/twistlock/certs-new
- 필수 조건:
인증서에 서명하려면 인증 기관에서 사용하는 파일을 생성해야 합니다.
- 필수_카
- 산.cnf
- ext파일.ext
다음 섹션에서 파일 내용을 확인하세요.
- req_ca (CA 요구 사항)
echo "[ req ] default_bits = 4096 default_md = sha256 distinguished_name = req_distinguished_name x509_extensions = req_ext prompt = no [ req_distinguished_name ] C=US ST=CA O=MyOrg, Inc. CN=rootCA [ req_ext ] basicConstraints = critical, CA:true" >req_ca
- Subject Alternative Name (SAN) (san.cnf)
echo "[req] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = req_ext x509_extensions = x509_ext prompt = no [ x509_ext ] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid,issuer [ req_distinguished_name ] C = US ST = CA O = MyOrg, Inc. CN = 10.180.29.195 [ req_ext ] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] IP.1 = 10.180.29.195 IP.2 = 127.0.0.1" >san.cnf
- ext파일.ext
echo "[req] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] IP.1 = 10.180.29.195 IP.2 = 127.0.0.1"> extFile.ext
- 인증 기관 생성
- 자체 서명 CA 생성 :
CA 인증 에 대한 개인 키 생성
openssl genrsa -out MyCA-key.pem
위의 키를 사용하여 자체 서명된 CA 인증 만듭니다.
openssl req -x509 -new -nodes -key MyCA-key.pem -sha256 -days 1825 -out MyCA-cert.pem -config req_ca
이제 우리는 다른 인증 요청에 서명할 수 있는 자체 CA 인증 갖게 되었습니다.
기억하다
MyCA-key.pem은 CA 개인 키일 뿐입니다.
MyCA-cert.pem은 MyCA-key.pem을 개인 키로 사용하는 자체 서명된 CA 인증 입니다.
- 사용자 인증 암호화
사용자 인증 암호화를 위한 개인 키
openssl genrsa -out user-key.pem 2048
인증 요청 생성
openssl req -new -config san.cnf -key user-key.pem -out user-request.pem
이제 우리는 사용자 인증 암호화를 위해 우리 자신의 개인 키로 서명된 우리 자신의 인증 요청 갖게 되었습니다.
- CA 기관에서 사용자 인증 서명
- 생성된 CA (MyCA-cert.pem)의 개인 키(MyCA-key.pem)를 사용하여 사용자 인증 요청 서명합니다.
- 사용자 인증 암호화를 위한 개인 키
openssl x509 -req -in user-request.pem -CA MyCA-cert.pem -CAkey MyCA-key.pem -CAcreateserial -days 1825 -sha256 -extfile extFile.ext -extensions req -outform PEM -out user-cert.pem
- 사용자 정의 인증서에 필요한 모든 인증서 생성
- HTTP 콘솔 인증서:
- HTTPS 개인 키(MyCA-key-https.pem) 생성
openssl genrsa -out MyCA-key-https.pem
- 위의 키를 사용하여 HTTPS 자체 서명 CA 인증 (MyCA-cert-https.pem)를 만듭니다.
openssl req -x509 -new -nodes -key MyCA-key-https.pem -sha256 -days 1 -out MyCA-cert-https.pem -config req_ca
- 콘솔 개인 키(console-key.pem)를 생성합니다.
openssl genrsa -out console-key.pem 2048
- 위의 개인 키를 사용하여 콘솔 인증 (console-cert.pem)를 만듭니다.
openssl req -new -config san.cnf -key console-key.pem -out 사용자-요청.pem
openssl x509 -req -in 사용자 요청.pem - CA MyCA-cert-https.pem -CAkey MyCA-key-https.pem -CAcreateserial -days
1 -sha256 -extfile extFile.ext -확장자 요청 -outform PEM -out console-cert.pem
chmod 777 콘솔-키.pem
- 사용자 정의 인증서를 위한 Twistlock 콘솔 구성
- custom-certificates 폴더를 만듭니다.
mkdir /var/lib/twistlock/custom-certificates
- 생성된 인증서를 "custom-certificates" 디렉토리로 복사하거나 이동합니다.
pwd ls -la cp * /var/lib/twistlock/custom-certificates/ ls -la /var/lib/twistlock/custom-certificates/
- Docker 콘솔을 다시 시작합니다.
docker ps docker restart twistlock_console docker ps
- 도커 콘솔 인증서 확인
- Docker 콘솔에 액세스하여 실제로 사용자 정의 인증서가 있는 폴더가 있는지 확인하세요.
docker ps docker exec -ti <docker_console_container_id> bash ls -la /var/lib/twistlock/ ls -la /var/lib/twistlock/custom-certificates
- 콘솔에서 사용자 정의 인증서 확인
관리 > 로그 > 콘솔로 이동하여 사용자 정의 인증서를 검색하고 인증서를 검색합니다.
Additional Information
참고 문서: