rhv_4.x_인증서_갱신

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판		 이전 판
rhv_4.x_인증서_갱신 [2023/05/28 04:14] – [RHV 4.x 인증서 갱신] koovrhv_4.x_인증서_갱신 [2025/06/24 13:11] (현재) – [추가정보] koov
줄 55: 줄 55:
 systemctl daemon-reload systemctl daemon-reload
 systemctl restart vdsmd systemctl restart vdsmd
-systemctl restart libvirtd 
 </code> </code>
 </WRAP> </WRAP>
줄 72: 줄 71:
 <WRAP prewrap> <WRAP prewrap>
 <code bash> <code bash>
-# systemctl restart libvirtd+이 작업은 아래 주의사항을 읽고 진행하도록 한다. VM이 강제종료될 수 있다. 
 +systemctl restart libvirtd
 # 또는 RHEV 3.x에서 # 또는 RHEV 3.x에서
-vdsm-tool service-restart libvirtd+vdsm-tool service-restart libvirtd
 </code> </code>
 </WRAP> </WRAP>
줄 121: 줄 121:
   * https://access.redhat.com/solutions/4780411   * https://access.redhat.com/solutions/4780411
  
 +===== 추가정보 =====
 +인증서를 만료전에 강제로 갱신하는 방법
 +
 +''engine-setup'' 시 강제적으로 PKI Renew 하도록 하는 추가 설정파일 내용
 +''%%engine-setup --config-append=renew.conf%%'' 와 같이 사용할 수 있다.
 +
 +''renew.conf'' 파일 내용
 +<WRAP prewrap>
 +<code vim>
 +[environment:default]
 +OVESETUP_PKI/renew=bool:True
 +OVEHOST_PKI_GENERATENEW=bool:True
 +OVESETUP_RENEW_PKI=bool:True
 +OVESETUP_PKI_PRESERVE=bool:False
 +</code>
 +</WRAP>
 +
 +<color #ed1c24>문제는 이 방법을 쓰더라도 CA파일은 날짜가 만료되지 않으면 갱신되지 않는다.</color> 
 +최상위 서명 기관인 CA(인증 기관)가 전혀 변경되지 않은 상태에서, 그 CA를 기반으로 개별 인증서들만 재발급(re-enroll)하는 것입니다.
 +
 +결과적으로, 개별 인증서 파일의 타임스탬프는 바뀔 수 있지만, 인증서를 발급한 기관(Issuer)과 인증서 체인이 동일하기 때문에 openssl로 확인했을 때 일련번호(Serial Number)나 다른 중요한 내용이 바뀌지 않을 수 있습니다. 사용자가 보기에는 사실상 "갱신되지 않은 것"과 같은 결과가 나타나는 것입니다.
 +
 +**따라서 전체 인증서를 만료되기 전에 새로 갱신하는 방법은 존재하지 않는다. 꼭 바꾸고 싶다면 백업/복구 방법으로 새로 설치를 하는 수밖에 없다.** 
  • rhv_4.x_인증서_갱신.1685247263.txt.gz
  • 마지막으로 수정됨: 2023/05/28 04:14
  • 저자 koov