NGINX One 인증서 관리

이 포스트에서는 F5 NGINX One Console 에서 SSL/TLS 인증서를 관리하는 방법을 설명합니다. 유효한 인증서는 NGINX와 사용자 간의 암호화된 연결을 지원합니다.

NGINX One Console에서는 다음을 수행할 수 있습니다.

  • 연결된 NGINX 인스턴스에서 사용하도록 구성된 모든 인증서를 모니터링합니다.
  • 인증서가 최신이고 올바른지 확인합니다.
  • 중앙 위치에서 인증서를 관리합니다. 이를 통해 작업을 간소화하고 해당 인증서를 원격으로 업데이트, 순환 및 배포할 수 있습니다.

Tip:
NGINX One Console에서 인증서를 관리하는 경우 데이터 플레인에서 파일을 직접 조작하지 않는 것이 좋습니다.

목차

1. 시작하기 전에
1-1. SSL/TLS 인증서 등
1-2. NGINX 구성에 인증서 포함
2. 중요 고려 사항
3. 기존 인증서 검토
4. 새 인증서 또는 번들 추가
5. 기존 인증서 또는 번들 편집
6. 배포된 인증서 제거
7. 관리형 및 비관리형 인증서

1. 시작하기 전에

인증서를 추가하고 관리하기 전에 다음을 확인하세요.

  • NGINX One Console에 액세스할 수 있는지
  • 인증 가이드에 설명된 대로 F5 Distributed Cloud 역할을 통해 SSL/TLS 인증서를 관리할 수 있는지
    • 계정에 f5xc-nginx-onc-user 역할이 있는지
  • SSL/TLS 인증서와 key가 일치하는지

1-1. SSL/TLS 인증서 등

NGINX One Console은 리포지토리에 엑세스하기 위한 인증서를 지원합니다. NGINX One Console에 업로드하려면 인증 기관(CA)에서 이러한 파일의 사본이 필요할 수 있습니다.

  • SSL 인증서 (.cer 또는 .pem 파일 확장자)
  • 개인 정보 보호 인증서 (.pem 파일 확장자)

NGINX One Console을 사용하면 이러한 인증서를 텍스트 및 파일로 업로드할 수 있습니다. 또한 자체 인증서 파일(.crt 및 .key 파일 확장자)을 업로드할 수도 있습니다.

인증서, key 및 pem 파일이 다음 표준 중 하나로 암호화되었는지 확인하세요.

  • RSA
  • ECDSA

이러한 key 중 하나를 사용하는 경우 미국 국립 표준 기술 연구소는 Publication 800-57 Part 3(PDF)에서 최소 2048bits의 key 크기를 권장합니다. 또한 ECDSA에 대한 권장 사항도 있습니다.

1-2. NGINX 구성에 인증서 포함

NGINX 구성의 경우 이러한 파일은 일반적으로 다음 NGINX 지칭과 연관됩니다.

2. 중요 고려 사항

대부분 웹사이트에는 public key와 인증서 또는 CA 번들의 유효한 정보가 포함되어 있습니다. 그러나 NGINX One Console은 이러한 사용 사례에 대해 허용하지만 경고를 제공합니다.

  • 공개 인증서가 만료된 경우
  • 인증서 체인의 리프 인증서 부분이 만료된 경우
  • CA 번들의 구성 요소가 만료된 경우
  • public key가 개인 인증서와 일치하지 않는 경우

이러한 경우 클라이언트 웹 브라우저에서 “연결이 비공개가 아닙니다”라는 경고 메시지를 표시하는 웹사이트가 나타날 수 있습니다.

3. 기존 인증서 검토

다음 단계에 따라 인스턴스의 기존 인증서를 검토하세요.

왼쪽 창에서 Certificate를 선택하세요. 나타나는 창에서 다음을 확인하세요.

  • Certificate Status
    • 다음 범주 중 하나에 있는 총 인증서 수
      • NGINX One Console에서 관리
      • 연결된 NGINX 인스턴스에서 감지
    • 지금부터 30일 이상 만료되는 유효한 인증서
    • 다음 30일 이내에 만료되는 유효한 인증서
    • 만료된 인증서
    • 아직 유효하지 않은 인증서
  • Management Status
    • 관리되는 인증서는 NGINX One Console에 저장됩니다.
      • NGINX One Console을 사용하여 인증서를 원격으로 배포, 관리 및 업데이트할 수 있습니다.
    • 관리되지 않는 인증서는 연결된 NGINX 인스턴스 구성을 통해 NGINX One Console에서 감지합니다.
      • 관리되지 않는 인증서를 관리되는 인증서로 변환하도록 선택한 경우 변환 중에 인증서와 key를 업로드해야 할 수도 있습니다.

Add Filter로 다음을 기준으로 인증서를 필터링할 수 있습니다.

  • Name
  • Status
  • Subject Name
  • Type

4. 새 인증서 또는 번들 추가

새 인증서를 추가하려면 인증서 추가를 선택합니다.

나타나는 화면에서 인증서 이름을 추가할 수 있습니다. 이름을 추가하지 않으면 NGINX One에서 인증서 만료 날짜를 기준으로 이름을 추가합니다.

다음 형식으로 인증서를 추가할 수 있습니다.

  • SSL 인증서 및 key
  • CA 인증서 번들

각 경우 파일을 직접 업로드하거나 텍스트 상자에 인증서 내용을 입력할 수 있습니다. 이러한 인증서를 업로드하면 다음이 표시됩니다.

  • 주체 이름, 시작 및 종료 날짜가 포함된 인증서 세부 정보.
  • RSA와 같은 암호화 key 크기 및 알고리즘이 포함된 key 세부 정보.

5. 기존 인증서 또는 번들 편집

인증서 화면에서 기존 인증서를 수정할 수 있습니다. 원하는 인증서를 선택합니다. 인증서 유형에 따라 Edit Certificate 또는 Edit CA Bundle 옵션이 표시됩니다. 그런 다음 NGINX One Console은 새 인증서를 추가할 때 표시되는 것과 동일한 옵션이 있는 창을 표시합니다.

해당 인증서가 이미 구성 동기화 그룹의 일부로 관리되는 경우 변경 사항은 해당 그룹의 모든 인스턴스에 영향을 미칩니다.

6. 배포된 인증서 제거

독립 인스턴스 또는 구성 동기화 그룹에서 배포된 인증서를 제거할 수 있습니다. 이렇게 하면 인스턴스 또는 그룹과의 인증서 연결이 제거되지만 인스턴스에서 인증서 파일은 삭제되지 않습니다.

배포된 인증서가 있는 모든 인스턴스는 구성 파일에 인증서 경로를 포함합니다. 한 인증서에 대해 배포된 파일 경로를 제거하면 해당 변경 사항은 해당 인스턴스로 제한됩니다.

모든 구성 동기화 그룹에도 구성 파일에 인증서 경로가 포함됩니다. 한 인증서에 대한 배포된 경로를 제거하면 해당 변경 사항은 해당 구성 동기화 그룹에 속하는 모든 인스턴스에 영향을 미칩니다.

7. 관리형 및 비관리형 인증서

NGINX One에 NGINX 인스턴스 추가에서 설명한 대로 NGINX One Console에 인스턴스를 등록하고 연관된 SSL/TLS 인증서를 등록하는 경우:

  • NGINX 구성에서 사용됨
  • 기존 관리형 SSL 인증서/CA 번들과 일치하지 않음

이러한 인증서는 비관리형 인증서 목록에 나타납니다.

비관리형 인증서를 변환하는 것이 좋습니다. 관리형 인증서로 변환하면 NGINX One Console에서 인증서를 중아에서 관리, 업데이트하고 데이터 플레인에 배포할 수 있습니다.

이러한 인증서를 관리형으로 변환하려면 인증서 메뉴에서 시작하여 Unmanaged를 선택합니다. Unmanaged Certificates or CA Bundles 목록이 표시됩니다. 그런 다음:

  • 인증서 선택
  • Convert to Managed 선택
  • 나타나는 창에서 이제 새 인증서 추가 섹션에 표시된 것과 동일한 정보를 포함할 수 있습니다.

NGINX One을 사용해 보시려면 NGINX STORE에 연락하여 논의하십시오.

NGINX STORE를 통한 솔루션 도입 및 기술지원 무료 상담 신청

* indicates required