ECS: 키 관리를 위해 외부 키 관리 서버를 추가하는 방법

새 외부 키 서버를 추가할 때 EKM 서버의 호스트 이름/IP를 쿼리할 때 서버 호스트 이름에 입력된 파일은 SSL 인증서에 제공된 SAN 이름과 일치해야 합니다.

1. 사용 중인 EKM 주소에서 제공하는 보안 인증서에서 필요한 SAN(Subject Alternate Name)을 수집합니다.

명령:

# sudo openssl s_client -connect <External Key Server Address>:5696 < /dev/null| openssl x509 -noout -text | grep DNS:

예:

admin@node1:~>sudo openssl s_client -connect <External Key Server Address>:5696 < /dev/null| openssl x509 -noout -text | grep DNS:
DNS:ekm.server.org.local

2. 서버에서 구성을 추가하고 1단계에서 수집된 SAN 주소를 추가합니다.

항행:
키 관리 > 새 외부 키 서버
 

• 요청을 저장하려고 시도한 후 다음 오류가 발생하면 1단계의 인증서에서 SAN 이름을 확인하고 해당 목록에서 대체 SAN 이름을 사용해야 합니다.

예:
 

외부 키 서버를 추가하기 위한 구성 작업을 완료하면 새 서버가 활성화할 준비가 된 클러스터 인스턴스가 됩니다.