Citrix Hypervisor

인증서 확인

풀에 대해 인증서 확인이 활성화되면 해당 관리 네트워크의 모든 TLS 통신 끝점은 기밀 정보를 전송하기 전에 인증서를 사용하여 피어의 ID를 확인합니다.

동작

관리 네트워크에서 Citrix Hypervisor 서버에 의해 시작된 연결의 경우 대상 엔드포인트가 ID를 확인하기 위해 TLS 인증서를 제공해야 합니다. 이 요구 사항은 풀의 일부이거나 풀과 상호 작용하는 다음 항목에 영향을 줍니다.

  • 풀의 서버
  • Citrix Hypervisor 센터
  • API를 사용하는 타사 클라이언트

인증서 확인은 Citrix Hypervisor에서 제공하는 자체 서명된 인증서와 신뢰할 수 있는 기관에서 서명한 사용자 설치 인증서 모두와 호환됩니다. 자세한 내용은 서버에 TLS 인증서 설치를 참조하십시오.

풀의 각 Citrix Hypervisor 서버에는 이를 식별하는 두 개의 인증서가 있습니다.

  • 풀 내부 ID 인증서는 풀 내의 서버 간 통신을 보호하는 데 사용됩니다. 풀 내 통신의 경우 Citrix Hypervisor는 항상 자체 서명된 인증서를 사용합니다.

  • 서버 ID 인증서는 관리 네트워크의 풀과 통신하는 클라이언트 응용 프로그램에 대한 서버 ID를 확인하는 데 사용됩니다. 서버와 클라이언트 응용 프로그램 간의 통신을 위해 자체 서명된 인증서를 사용하거나 서버에 자체 TLS 인증서를 설치할 수 있습니다.

서버가 풀에 처음 가입하거나 클라이언트가 먼저 풀에 연결할 때 풀은 연결을 신뢰합니다. 이 첫 번째 연결 중에 인증서는 풀과 가입 서버 또는 연결 클라이언트 간에 교환됩니다. 관리 네트워크에서 이 서버 또는 클라이언트에 의한 모든 후속 통신의 경우 인증서는 통신에 관련된 당사자의 ID를 확인하는 데 사용됩니다.

인증서 확인을 사용하도록 설정한 Citrix Hypervisor 서버가 이 기능을 사용하도록 설정하지 않은 풀에 참여하려고 하면 작업이 성공하지 못합니다. Citrix Hypervisor 센터는 풀에서 인증서 확인을 사용하도록 설정하라는 경고 메시지를 제공합니다.

인증서 확인을 사용하도록 설정하지 않은 Citrix Hypervisor 서버가 이 기능을 사용하도록 설정하지 않은 풀에 참여하려고 하면 작업이 성공적으로 수행되지 않습니다. Citrix Hypervisor 센터는 풀에서 인증서 확인을 사용하도록 설정하라는 경고 메시지를 제공합니다.

서버가 인증서 확인이 활성화된 상태에서 풀에서 나가면 서버와 풀 모두 다른 서버와 관련된 인증서를 삭제합니다.

가상 장비

이 미리 보기 중에 Citrix Hypervisor Conversion Manager 가상 장비가 TLS 클라이언트 끝점 역할을 할 때 인증 확인 요구 사항에서 제외됩니다.

이 미리 보기 중에 Workload Balancing 가상 장비를 인증서 확인과 함께 사용할 수 있습니다. 다음 조건이 충족되는지 확인해야 합니다.

  • 자체 서명된 인증서의 키 길이는 2048입니다.
  • stunnel 구성에 필요한 파라미터가 추가됩니다.
  • Workload Balancing 자체 서명된 인증서가 Citrix Hypervisor 서버에 설치됩니다.

자세한 내용은 자체 서명된 인증서를 확인하도록 Citrix Hypervisor 구성을 참조하십시오.

풀에 대한 인증서 확인 활성화

인증서 확인은 Citrix Hypervisor 8 Cloud 이상을 새로 설치할 때 기본적으로 사용하도록 설정됩니다.

이전 버전의 Citrix Hypervisor에서 업그레이드하는 경우 인증서 확인이 자동으로 활성화되지 않으므로 이를 사용하도록 설정해야 합니다. 다음에 업그레이드된 풀에 연결할 때 인증서 확인을 사용하도록 설정하라는 메시지가 Citrix Hypervisor 센터에 표시됩니다.

풀에서 인증서 확인을 사용하도록 설정하기 전에 풀에서 실행 중인 작업이 없는지 확인합니다.

Citrix Hypervisor 센터를 사용하여 활성화

Citrix Hypervisor 센터는 인증서 확인을 활성화하는 여러 가지 방법을 제공합니다.

  • 인증서 확인을 사용하지 않고 Citrix Hypervisor 센터를 풀에 처음 연결하면 이를 사용하도록 설정하라는 메시지가 표시됩니다. 예, 인증서 확인 사용을 클릭합니다.

  • 메뉴에서 인증서 확인 사용을 선택합니다.

  • 풀의 일반 탭에서 인증서 확인 항목을 마우스 오른쪽 단추로 클릭하고 메뉴에서 인증서 확인 사용을 선택합니다.

xe CLI를 사용하여 활성화

풀에 대한 인증서 확인을 사용하도록 설정하려면 풀에 있는 서버의 콘솔에서 다음 명령을 실행합니다.

xe pool-enable-tls-verification

인증서 관리

서버 ID를 확인하는 데 사용되는 인증서를 설치하고, 정보를 보고, 다시 설정할 수 있습니다.

인증서 설치

관리 네트워크의 클라이언트 응용 프로그램으로부터 연결을 받을 때 서버가 ID 인증서로 표시되도록 자체 TLS 인증서를 설치할 수 있습니다.

자세한 내용은 서버에 TLS 인증서 설치를 참조하십시오.

인증서 정보 보기

풀에 인증서 확인이 활성화되어 있는지 확인하려면 다음을 수행하십시오.

  • Citrix Hypervisor 센터에서 풀의 일반 탭을 확인합니다. 일반 섹션에는 인증서 확인의 활성화 여부를 보여주는 인증서 확인 항목이 있습니다. 이 탭에는 CA 인증서의 이름, 유효성 및 지문을 나열하는 인증서 섹션도 포함되어 있습니다.

  • xe CLI를 사용하여 다음 명령을 실행할 수 있습니다.

     xe pool-param-get uuid=<pool_uuid> param-name=tls-verification-enabled
    

    인증서 확인이 활성화된 경우 명령 출력에 tls-verification-enabled ( RO): true 줄이 나타납니다.

Citrix Hypervisor 서버의 인증서에 대한 정보를 보려면 다음과 같이 하십시오.

  • Citrix Hypervisor 센터에서 해당 서버의 일반 탭으로 이동합니다. 인증서 섹션에는 서버 ID 인증서 및 풀 내부 ID 인증서의 지문과 유효 날짜가 표시됩니다.

  • xe CLI를 사용하여 다음 명령을 실행할 수 있습니다.

     xe certificate-list
    

풀 내부 ID 인증서 새로 고침

xe CLI를 사용하여 풀 내부 ID 인증서를 새로 고칠 수 있습니다.

  1. 다음 명령을 실행하여 인증서를 재설정할 서버의 UUID를 찾습니다.

    xs host-list
    
  2. 인증서를 재설정하려면 다음 명령을 실행합니다.

    xe host-refresh-server-certificate host=<host_uuid>
    

    참고

    모든 호스트 선택기 매개 변수를 이 명령과 함께 사용하여 인증서를 재설정할 서버를 나타낼 수 있습니다.

서버 ID 인증서 재설정

Citrix Hypervisor 센터 또는 xe CLI에서 서버 ID 인증서를 재설정할 수 있습니다. 인증서를 재설정하면 서버에서 인증서가 삭제되고 새 자체 서명된 인증서가 대신 설치됩니다.

Citrix Hypervisor 센터에서 인증서를 재설정하는 방법

  1. 서버의 일반 탭으로 이동합니다.
  2. 인증서 섹션에서 재설정하려는 인증서를 마우스 오른쪽 버튼으로 클릭합니다.
  3. 메뉴에서 인증서 재설정을 선택합니다.
  4. 대화 상자가 나타나면 를 클릭하여 인증서 재설정을 확인합니다.

또는 서버 메뉴에서 인증서 > 인증서 재설정으로 이동할 수 있습니다.

인증서를 다시 설정하면 Citrix Hypervisor 센터와 서버 간의 연결을 포함하여 서버에 대한 기존 연결이 끊어집니다.

xe CLI를 사용하여 인증서를 재설정하려면:

  1. 다음 명령을 실행하여 인증서를 재설정할 서버의 UUID를 찾습니다.

    xs host-list
    
  2. 인증서를 재설정하려면 다음 명령을 실행합니다.

    xe host-reset-server-certificate host=<host_uuid>
    

    참고

    모든 호스트 선택기 매개 변수를 이 명령과 함께 사용하여 인증서를 재설정할 서버를 나타낼 수 있습니다.

인증서를 다시 설정하면 Citrix Hypervisor 센터와 서버 간의 연결을 포함하여 서버에 대한 기존 연결이 끊어집니다. 인증서 재설정 후 Citrix Hypervisor 센터가 서버에 자동으로 다시 연결됩니다.

만료 알림

Citrix Hypervisor는 서버 ID 인증서, 풀 내부 ID 인증서 또는 풀 CA 인증서가 만료 날짜에 가까워지면 알림 보기에 경고를 표시합니다.

일시적으로 인증서 확인 비활성화

서버 또는 풀에서 사용하도록 설정한 후에는 인증서 확인을 비활성화하지 않는 것이 좋습니다. 그러나 Citrix Hypervisor는 인증서 문제를 해결할 때 서버별로 인증서 확인을 사용하지 않도록 설정하는 데 사용할 수 있는 명령을 제공합니다.

인증서 확인을 일시적으로 비활성화하려면 서버 콘솔에서 다음 명령을 실행합니다.

xe host-emergency-disable-tls-verification

Citrix Hypervisor 센터는 해당 기능이 사용하도록 설정된 풀의 서버에서 인증서 확인이 비활성화된 경우 알림에 경고를 표시합니다.

서버의 인증서 관련 문제를 해결한 후에는 서버에서 인증서 확인을 다시 사용하도록 설정해야 합니다. 인증서 확인을 다시 활성화하려면 서버 콘솔에서 다음 명령을 실행합니다.

xe host-emergency-reenable-tls-verification
인증서 확인