SCX 에이전트에서 CA 인증서를 사용하는 방법

이 문서에서는 SCOM(System Center Operations Manager) Unix/Linux(SCX) 에이전트에서 자체 서명된 인증서를 CA(인증 기관) 서명된 인증서로 변환하는 방법을 소개합니다.

CA 인증서 템플릿 만들기

SCOM 환경의 CA 서버에서 다음 단계에 따라 인증서 템플릿을 만듭니다.

1. 서버 관리자 인증 기관을 엽니다.

2. 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 관리를 선택합니다.

3. 템플릿 컴퓨터를 선택하고 중복 템플릿을 선택합니다.

4. 일반 탭에서 템플릿의 이름을 설정하고 표준에 따라 유효 기간을 변경합니다.

   

5. 요청 처리 탭에서 프라이빗 키를 내보낼 수 있도록 허용 옵션을 선택합니다.

   

6. 확장 탭에서 애플리케이션 정책>편집을 선택합니다. 애플리케이션 정책 확장에서 클라이언트 인증을 제거합니다. 애플리케이션 정책 확장에 서버 인증만 있는지 확인합니다.

   

7. 주체 이름 탭의 요청에서 [제공]을 선택합니다. 프롬프트를 수락합니다. 위험은 없습니다.

   

8. 확인을 선택합니다.

9. 만든 템플릿을 선택하고 속성으로 이동합니다.

10. 보안을 선택합니다. 인증서를 등록할 서버의 컴퓨터 개체를 추가합니다.

    

11. 읽기, 쓰기 및 등록으로 사용 권한을 선택합니다.

    

12. 인증서 템플릿을 마우스 오른쪽 단추로 클릭합니다. 발급할 새>인증서 템플릿을 선택합니다.

13. 만든 템플릿을 선택하고 확인을 선택합니다.

템플릿에서 CA 인증서 발급

1. 템플릿에 대한 권한이 부여된 Windows Server에서 컴퓨터 인증서 저장소를 엽니다.

2. 개인에서 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업>요청 새 인증서를 선택합니다...

   

3. 다음을> 선택합니다.

4. 템플릿을 찾습니다.

5. 이 인증서에 등록하려면 추가 정보가 필요합니다. 설정을 구성하려면 여기를 클릭하십시오.

   

6. 다음 세부 정보를 순서대로 추가합니다.

   1. CN=<서버 이름 FQDN>
   2. CN=<서버 이름>
   3. DC=<도메인 구성 요소>(예: Contoso
   4. DC=<도메인 구성 요소>(예: com

   

   다른 도메인 구성 요소가 있는 경우 인증서에 있는지 확인합니다.

7. 등록이 성공한 후 마침을 선택합니다.

8. 인증서를 마우스 오른쪽 단추로 클릭하고 프라이빗 키로 내보냅니다. 마지막으로 .pfx 파일이 있어야 합니다.

9. CA 및 중간 CA 인증서(해당하는 경우) 를 UNIX/Linux 리소스 풀에 있는 모든 관리 서버/게이트웨이의 루트 저장소로 내보냅니다.

Unix/Linux 서버에서 인증서 복사 및 편집

1. 인증서를 발급한 Unix/Linux 서버에 인증서를 복사합니다.

2. 다음 명령을 사용하여 프라이빗 키를 내보냅니다.

   openssl pkcs12 -in <FileName>.pfx -nocerts -out key.pem
   

   인증서 저장소에서 프라이빗 키를 내보내는 동안 새 키 파일에 대해 새 암호를 설정해야 합니다.

   

   내보내기가 완료되면 key.pem 파일이 표시됩니다.

   

3. 다음 명령을 사용하여 인증서를 내보냅니다.

   openssl pkcs12 -in <FileName>.pfx -clcerts -nokeys -out omi.pem
   

   인증서 저장소에서 인증서를 내보내는 동안 FileName.pfx> 파일의 <암호를 입력해야 합니다.

   

   내보내기가 완료되면 omi.pem 파일이 표시됩니다.

   

4. 다음 명령을 사용하여 프라이빗 키에서 암호를 제거합니다.

   openssl rsa -in key.pem -out omikey.pem 
   

   

   Linux 에이전트가 파일의 암호를 모르기 때문에 이 작업이 필요합니다.

5. 다음 명령을 사용하여 omikey.pem 파일을 OMI(Open Management Infrastructure) 디렉터리로 이동합니다.

   mv omikey.pem /etc/opt/omi/ssl/omikey.pem 
   

6. 다음 명령을 사용하여 SCX 에이전트를 다시 시작합니다.

   scxadmin -restart
   

7. 에이전트를 다시 시작한 후 omi 프로세스가 실행 중인지 확인합니다.

   ps -ef | grep omi | grep -v grep
   

   

인증서가 CA에 의해 서명되어 있는지 확인합니다.

1. 에이전트에서 다음 명령을 실행하여 인증서가 CA에 의해 서명되었는지 확인합니다.

   openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates
   
   subject= /DC=lab/DC=nfs/CN=RHEL7-02/CN=RHEL7-02.nfs.lab
   issuer= /DC=lab/DC=nfs/CN=nfs-DC-CA
   notBefore=Aug  1 13:16:47 2023 GMT
   notAfter=Jul 31 13:16:47 2024 GMT
   

   일반적인 시나리오 issuer 에서는 다음과 같이 UNIX/Linux 리소스 풀의 관리 서버/게이트웨이가 됩니다.

   openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates
   
   subject=CN = rhel8-01.nfs.lab, CN = rhel8-01.nfs.lab
   issuer=CN = SCX-Certificate, title = SCX55a8126f-c88a-4701-9754-8625324426ff, DC = SCOM2022MS3
   notBefore=Jul 25 11:36:44 2022 GMT
   notAfter=Jul 25 12:12:14 2033 GMT
   

2. UNIX/Linux 리소스 풀의 관리 서버/게이트웨이 중 하나에서 네트워크 추적을 실행합니다.

3. 에이전트에 대해 다음 WinRM 명령을 실행하고 인스턴스 출력을 가져오는지 확인합니다.

   winrm enumerate http://schemas.microsoft.com/wbem/wscim/1/cim-schema/2/SCX_Agent?__cimnamespace=root/scx -auth:basic -remote:https://<server name>:1270 -username:<username> -encoding:utf-8
   

4. 네트워크 추적에서 에이전트의 IP를 사용하여 필터링합니다.

5. 인증서, 서버 Hello Done 패킷에 사용된 자체 서명된 인증서가 아닌 CA 서명된 인증서가 표시됩니다.