Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL 인증서를 서명된 인증서로 대체

처음으로 Apstra 서버를 부팅하면 고유 자체 서명 인증서가 자동으로 생성되어 Apstra 서버에 /etc/aos/nginx.conf.d 저장됩니다(nginx.crt 웹 서버 nginx.key 의 공개 키이며 프라이빗 키임). 인증서는 내부 디바이스 서버 연결이 아닌 Apstra 서버 및 REST API를 암호화하는 데 사용됩니다. 시스템 백업을 수행할 때 HTTPS 인증서가 etc/aos 보관되지 않기 때문에 폴더를 수동으로 백업해야 합니다. 기본 SSL 인증서를 교체하는 것이 좋습니다. 웹 서버 인증서 관리는 최종 사용자의 책임입니다. Juniper 지원은 최선의 노력일 뿐입니다.

  1. 기존 OpenSSL 키를 백업합니다.
  2. 내장된 opensl 명령으로 새로운 OpenSSL 프라이빗 키를 생성합니다.
    주의:

    기본 nginx.crt 또는 nginx.key 파일 이름을 수정하려고 시도하지 마십시오. 이러한 값은 nginx의 구성 파일에서 참조됩니다. 이 파일은 후속 서비스 업그레이드의 일부로 대체될 수 있으므로 파일 이름을 예측해야 합니다. 또한 Apstra 서버 업그레이드 중에 이 파일을 교체할 nginx.conf수 있으므로 구성을 변경하지 마십시오.

  3. 인증서 서명 요청을 생성합니다. Apstra 서버 HTTPS 서비스에 대한 주관적 대안 이름(SAN)이 있는 서명된 SSL 인증서를 만들고 싶다면 OpenSSL 템플릿을 수동으로 생성해야 합니다. 자세한 내용은 Juniper 지원 기술 자료 기사 KB37299를 참조하십시오.
    주의:

    고급 인증서 요청에 대해 사용자 정의 OpenSSL 구성 파일을 생성한 경우, nginx가 서비스 시작 시 로드(*.conf)를 시도하여 서비스 장애가 발생하기 때문에 nginx 구성 폴더에 두지 마십시오.

  4. 인증서 서명 요청(nginx.csr)을 인증 기관에 제출하십시오. 필요한 단계는 이 문서의 범위를 벗어나 있습니다 - CA 지침은 구현마다 다릅니다. 모든 유효한 SSL 인증서가 작동합니다. 아래의 예는 인증서 자체 서명입니다.
  5. SSL 인증서가 일치하는지 확인합니다. 프라이빗 키, 공용 키 및 CSR.
  6. 새 인증서를 로드하려면 nginx 컨테이너를 다시 시작합니다.
  7. 새 인증서가 웹 브라우저에 있는지 확인하고 새 인증서 공통 이름이 'aos-server.apstra.com'와 일치하는지 확인합니다.