rhv_4.x_인증서_갱신

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판		 이전 판
rhv_4.x_인증서_갱신 [2023/05/28 03:49] – [4. 각 하이퍼바이저에서 vdsmd 데몬 재기동 (vm정상)] koovrhv_4.x_인증서_갱신 [2025/06/24 13:11] (현재) – [추가정보] koov
줄 1: 줄 1:
 ====== RHV 4.x 인증서 갱신 ====== ====== RHV 4.x 인증서 갱신 ======
 + --- //[[koovis@gmail.com|이강우]] 2023/05/28 13:14//
 ===== 이슈 ===== ===== 이슈 =====
 <WRAP prewrap> <WRAP prewrap>
줄 55: 줄 55:
 systemctl daemon-reload systemctl daemon-reload
 systemctl restart vdsmd systemctl restart vdsmd
-systemctl restart libvirtd 
 </code> </code>
 </WRAP> </WRAP>
줄 72: 줄 71:
 <WRAP prewrap> <WRAP prewrap>
 <code bash> <code bash>
-# systemctl restart libvirtd+이 작업은 아래 주의사항을 읽고 진행하도록 한다. VM이 강제종료될 수 있다. 
 +systemctl restart libvirtd
 # 또는 RHEV 3.x에서 # 또는 RHEV 3.x에서
-vdsm-tool service-restart libvirtd+vdsm-tool service-restart libvirtd
 </code> </code>
 +</WRAP>
 +<WRAP center round important 60%>
 +주의 해야할것은 ''libvirtd''를 재기동 할 경우 RHV 일부 버전에서는 버그로 인해 ''동작중인 VM이 강제 종료''되는 경우가 있다.
 +따라서 이부분은 재량에 따라 진행하며 불가피한경우 이부분은 건너띄고 최소한의 VM만 종료하여 다음 단계처럼 빈 호스트를 만들어 마이그레이션을 진행하도록 한다.
 +https://bugzilla.redhat.com/show_bug.cgi?id=1946697
 +https://bugzilla.redhat.com/show_bug.cgi?id=1836865
 </WRAP> </WRAP>
  
-''vdsmd''를 재기동 했음에도 불구하고 매니저에서 호스트가 ''Up''상태로 올라오지 않는다면 매니저의 ''ovirt-engine''을 재시작 해본다. + 
-''systemctl restart ovirt-engine''+''vdsmd''를 재기동 했음에도 불구하고 매니저에서 호스트가 ''Up''상태로 올라오지 않는다면 매니저의 ''ovirt-engine''을 재시작 하거나 리부팅 해본다. 
 +<WRAP prewrap> 
 +<code bash> 
 +systemctl restart ovirt-engine 
 +# 또는 
 +$ sync; reboot 
 +</code> 
 +</WRAP>
 ==== 5. 호스트 한개부터 시작 (최소 한개의 호스트는 비워야 한다. VM을 종료한다.) ==== ==== 5. 호스트 한개부터 시작 (최소 한개의 호스트는 비워야 한다. VM을 종료한다.) ====
  
줄 108: 줄 121:
   * https://access.redhat.com/solutions/4780411   * https://access.redhat.com/solutions/4780411
  
 +===== 추가정보 =====
 +인증서를 만료전에 강제로 갱신하는 방법
 +
 +''engine-setup'' 시 강제적으로 PKI Renew 하도록 하는 추가 설정파일 내용
 +''%%engine-setup --config-append=renew.conf%%'' 와 같이 사용할 수 있다.
 +
 +''renew.conf'' 파일 내용
 +<WRAP prewrap>
 +<code vim>
 +[environment:default]
 +OVESETUP_PKI/renew=bool:True
 +OVEHOST_PKI_GENERATENEW=bool:True
 +OVESETUP_RENEW_PKI=bool:True
 +OVESETUP_PKI_PRESERVE=bool:False
 +</code>
 +</WRAP>
 +
 +<color #ed1c24>문제는 이 방법을 쓰더라도 CA파일은 날짜가 만료되지 않으면 갱신되지 않는다.</color> 
 +최상위 서명 기관인 CA(인증 기관)가 전혀 변경되지 않은 상태에서, 그 CA를 기반으로 개별 인증서들만 재발급(re-enroll)하는 것입니다.
 +
 +결과적으로, 개별 인증서 파일의 타임스탬프는 바뀔 수 있지만, 인증서를 발급한 기관(Issuer)과 인증서 체인이 동일하기 때문에 openssl로 확인했을 때 일련번호(Serial Number)나 다른 중요한 내용이 바뀌지 않을 수 있습니다. 사용자가 보기에는 사실상 "갱신되지 않은 것"과 같은 결과가 나타나는 것입니다.
 +
 +**따라서 전체 인증서를 만료되기 전에 새로 갱신하는 방법은 존재하지 않는다. 꼭 바꾸고 싶다면 백업/복구 방법으로 새로 설치를 하는 수밖에 없다.** 
  • rhv_4.x_인증서_갱신.1685245798.txt.gz
  • 마지막으로 수정됨: 2023/05/28 03:49
  • 저자 koov