인증 기관 교체

Teleport의 인증 기관을 교체하는 방법을 설명합니다.

작동 방식

사전 요구 사항

Cluster (=teleport.url=)

Version (=teleport.version=)

CA pin (=presets.ca_pin=)

1/4단계. 교체할 CA 선택

`host`

`windows`

`user`

`db`와 `db_client`

`openssh`

`jwt`

`saml_idp`

`oidc_idp`

`spiffe`

`awsra`

`bound_keypair`

2/4단계. 수동 교체 시작

`init` 단계

`update_clients`

`update_servers`

최종 `standby`

3/4단계. [선택 사항] 반자동 교체 실행

반자동 교체 사용 여부 결정

반자동 교체 시작

200시간의 유예 기간으로 사용자 인증서만 교체:

8시간의 유예 기간으로 호스트 인증서만 교체:

4/4단계. [선택 사항] 교체 롤백

추가 읽기

Teleport 클러스터의 구성 요소들은 X.509 또는 SSH 인증서를 사용하여 서로 인증합니다. 인증서를 발급하기 위해 Teleport는 여러 인증 기관을 유지합니다. Teleport CA를 교체하면 악의적인 행위자가 Teleport 클러스터의 일부를 가장하는 것을 방지할 수 있습니다. 이 가이드는 Teleport가 유지하는 CA와 교체 방법을 설명합니다. 단계를 따르기 전에 전체 가이드를 숙지하는 것을 권장합니다. 예상대로 진행되지 않을 경우 CA 교체를 롤백할 준비가 되어 있어야 합니다. 작동 방식 # Teleport는 CA를 독립적으로 유지하며, 하나의 CA를 교체해도 다른 CA의 교체 상태에 영향을 주지 않습니다. 교체 프로세스는 운영자가 인프라를 업데이트하고 필요한 경우 CA 교체를 롤백할 시간을 주는 단계 로 진행됩니다. Teleport CA 교체는 각 CA에 대해 5단계로 이루어집니다. 단계의 순서는 다음과 같습니다: standby : 교체 진행 중 없음. 아무 작업도 시작되지 않음. init : 새 인증 기관이 발급되었지만 사용되지 않음. update_clients : Teleport Auth Service는 새 CA를 사용하여 새 인증서에 서명하지만 원래 CA가 서명한 인증서도 계속 신뢰함. update_servers : 클라이언트로부터 들어오는 연결을 수락하는 클러스터의 모든 서버 구성 요소가 아이덴티티를 다시 로드하고 새 CA가 발급한 인증서를 제공하기 시작함. 이 단계에서 클라이언트는 원래 CA 또는 새 CA가 발급한 서버 인증서를 수락합니다. host CA 를 교체할 때 Teleport 에이전트, Auth Service 및 Proxy Service 인스턴스는 자동으로 아이덴티티를 다시 로드합니다. 이 단계에서 OpenSSH 호스트에 새 SSH 호스트 인증서를 발급해야 합니다. standby : 교체 진행 중 없음. 모든 작업이 완료됨. 모든 구성 요소가 이전 CA 신뢰를 중단하고 새 CA만 신뢰합니다. 최종 standby 단계 이전에 rollback 단계로 교체를 중단하고 원래 인증 기관으로 돌아갈 수도 있습니다. rollback 단계 후에는 standby 단계로 진행합니다. CA 교체는 수동 또는 반자동 으로 진행할 수 있습니다. 수동 모드에서는 관리자가 Teleport Auth Service에 한 단계에서 다음 단계로 진행하도록 지시해야 합니다. 단계 사이에 관리자는 각 변경 사항에 맞게 인프라를 준비할 수 있습니다. 반자동 모드에서는 Teleport Auth Service가 각 단계 사이에 유예 기간을 두고 자동으로 각 단계를 순환합니다. 17.0.5 이상 버전에서는 tctl auth rotate (인수 없이)를 실행하면 CA 교체를 위한 대화형 터미널 UI가 시작됩니다. 대화형 UI는 실시간 클러스터 상태를 표시하고, 교체할 CA를 선택하고, 각 단계를 안내하며, 클러스터가 다음 단계로 준비되었는지 자동으로 확인하고, 완료해야 하는 수동 단계를 나열합니다. 사전 요구 사항 # A running Telep