이 가이드는 TLS 인증서를 구성하지 않고 비프로덕션 환경에서 Teleport를 평가하는 방법을 설명합니다. Teleport Proxy Service는 TLS x509 인증서를 통해 클라이언트에 자신을 인증합니다. 또한 자체 서명 인증서는 teleport, tsh, tctl이 Proxy Service에 연결하는 것을 방해할 수 있습니다.
이 가이드는 TLS 인증서를 구성하지 않고 비프로덕션 환경에서 Teleport를 평가하는 방법을 설명합니다.
자체 서명 인증서로 Teleport를 실행하는 방법과 이 구성으로 인한 문제를 해결하는 방법을 보여줍니다.
Teleport Proxy Service는 TLS x509 인증서를 통해 클라이언트에 자신을 인증합니다.
Proxy Service에 대한 인증서가 구성되지 않은 경우 자체 서명 인증서를 사용하며, 클라이언트는 기본적으로 이를 신뢰하지 않습니다.
클러스터의 Web UI를 방문하면 웹사이트가 신뢰되지 않는다는 경고 페이지가 표시될 수 있습니다.
또한 자체 서명 인증서는 teleport, tsh, tctl이 Proxy Service에 연결하는 것을 방해할 수 있습니다.
프로덕션에서 사용하지 마세요
프로덕션에서 자체 서명 인증서를 사용하지 마세요
클러스터가 자체 서명 인증서를 신뢰하도록 구성하면
인증서의 진위를 확인할 방법이 없으므로
공격자가 Proxy Service와 클라이언트 간의 통신을 가로채기 쉬워집니다.
따라서 프로덕션 환경에서 Teleport를 사용할 때는
인증서를 올바르게 구성하는 것이 중요합니다.
실행 중인 Teleport 클러스터. 설정 방법은
시작하기 가이드를 참조하세요 (TLS 인증서 설정 건너뜀).
인증서 또는 ACME 자동 인증서가 구성되지 않은 Teleport Proxy Service.
예를 들어 다음 Teleport Proxy Service 구성은 자체 서명 인증서를 사용합니다:
proxy_service:enabled:true# TLS certificate for the HTTPS connection.https_keypairs: []
# Get an automatic certificate from letsencrypt.org using ACME.acme: {}
실행 중인 Teleport 클러스터. 설정 방법은 Enterprise
시작하기 가이드를 참조하세요.
인증서 또는 ACME 자동 인증서가 구성되지 않은 Teleport Proxy Service.
예를 들어 다음 Teleport Proxy Service 구성은 자체 서명 인증서를 사용합니다:
proxy_service:enabled:true# TLS certificate for the HTTPS connection.https_keypairs: []
# Get an automatic certificate from letsencrypt.org using ACME.acme: {}
tctl 및 tsh 클라이언트 도구:
tctl과 tsh가 포함된 서명된 macOS .pkg 설치 프로그램을 다운로드합니다. Finder에서 pkg 파일을 더블클릭하여 설치를 시작합니다:
Homebrew를 사용하여 Teleport를 설치하는 것은 지원되지 않습니다. Homebrew의 Teleport 패키지는
Teleport에서 유지 관리하지 않으며 신뢰성이나 보안을 보장할 수 없습니다.
$ curl.exe -O https://cdn.teleport.dev/teleport-v(=teleport.version=)-windows-amd64-bin.zip
# Unzip the archive and move tsh.exe and tctl.exe to your %PATH%
# NOTE: Do not place tsh.exe and tctl.exe in the System32 directory, as this can cause issues when using WinSCP.
# Use %SystemRoot% (C:\Windows) or %USERPROFILE% (C:\Users\<username>) instead.
Linux 설치의 모든 Teleport 바이너리에는 tctl과 tsh가 포함됩니다. 더 많은 옵션
(RPM/DEB 패키지 및 i386/ARM/ARM64용 다운로드 포함)은
설치 페이지를 참조하세요.
$ curl -O https://cdn.teleport.dev/teleport-v(=teleport.version=)-linux-amd64-bin.tar.gz
$ tar -xzf teleport-v(=teleport.version=)-linux-amd64-bin.tar.gz
$ cd teleport
$ sudo ./install
# Teleport binaries have been copied to /usr/local/bin
tctl과 tsh가 Teleport 클러스터 버전보다 최대 한 메이저 버전 이하인지 확인하세요.
Proxy Service에 /v1/webapi/ping에 GET 요청을 보내고 JSON 쿼리 도구를 사용하여 클러스터 버전을 가져옵니다:
teleport로 Teleport 서비스를 실행할 때, 시작하는 서비스가 Teleport Proxy Service 엔드포인트를 가리키도록 구성되어 있고 Proxy Service가 자체 서명 인증서를 사용하는 경우 teleport를 --insecure 플래그로 실행하여
Proxy Service TLS 인증서 검증을 비활성화해야 합니다. 이는 다음과 같은 경우에 해당합니다:
Teleport 구성 파일의 proxy_server 설정이 Proxy Service 엔드포인트로 설정된 경우:
proxy_server: "tele.example.com:443" 또는
proxy_server: "tele.example.com:3080"
Teleport가 Proxy Service 엔드포인트를 가리키는 --auth-server 플래그로 시작된 경우:
teleport [app | db] start --auth-server=tele.example.com:443 또는
Teleport Proxy Service를 통해 원격으로 tctl을 실행할 때 Proxy Service가 자체 서명 인증서를 사용하는 경우
tctl은 Proxy Service의 인증서를 신뢰하지 않습니다.
인증서 검증을 비활성화하려면 tctl 명령을 실행할 때 --insecure 플래그를 사용합니다.
tctl은 다음 몇 가지 방법으로 Auth Service에 연결하는 방법을 결정합니다:
tsh로 로그인한 후 로컬 프로필에서 구성 로드
인수로 전달된 구성 파일에서 로드: tctl -c /etc/teleport.yaml
직접 --auth-server 플래그 전달:
tctl --auth-server=tele.example.com:443 또는
tctl --auth-server=tele.example.com:3080
이 방법 중 하나가 Teleport Proxy Service를 통해 연결하려고 시도하고 Proxy Service가 자체 서명 인증서를 사용하는 경우
tctl은 Proxy Service의 인증서를 신뢰하지 않으며, --insecure도 tctl에 전달하지 않으면 신뢰되지 않거나 유효하지 않은 인증서에 대한
오류 메시지가 표시됩니다.
tsh를 실행할 때 tsh가 연결할 Teleport Proxy Service 주소를 지정해야 합니다.
Teleport Proxy Service가 자체 서명 인증서를 사용하는 경우 tsh는 Proxy Service
인증서를 신뢰하지 않습니다.
이 경우 tsh를 사용하려면 --insecure 플래그를 사용해야 합니다.
예를 들어: tsh login --proxy=tele.example.com:443 --user=alice --insecure
이 가이드는 TLS 인증서를 구성하지 않고 비프로덕션 환경에서 Teleport를 평가하는 방법을 설명합니다. Teleport Proxy Service는 TLS x509 인증서를 통해 클라이언트에 자신을 인증합니다. 또한 자체 서명 인증서는 teleport, tsh, tctl이 Proxy Service에 연결하는 것을 방해할 수 있습니다.
이 가이드는 TLS 인증서를 구성하지 않고 비프로덕션 환경에서 Teleport를 평가하는 방법을 설명합니다.
자체 서명 인증서로 Teleport를 실행하는 방법과 이 구성으로 인한 문제를 해결하는 방법을 보여줍니다.
Teleport Proxy Service는 TLS x509 인증서를 통해 클라이언트에 자신을 인증합니다.
Proxy Service에 대한 인증서가 구성되지 않은 경우 자체 서명 인증서를 사용하며, 클라이언트는 기본적으로 이를 신뢰하지 않습니다.
클러스터의 Web UI를 방문하면 웹사이트가 신뢰되지 않는다는 경고 페이지가 표시될 수 있습니다.
또한 자체 서명 인증서는 teleport, tsh, tctl이 Proxy Service에 연결하는 것을 방해할 수 있습니다.
프로덕션에서 사용하지 마세요
프로덕션에서 자체 서명 인증서를 사용하지 마세요
클러스터가 자체 서명 인증서를 신뢰하도록 구성하면
인증서의 진위를 확인할 방법이 없으므로
공격자가 Proxy Service와 클라이언트 간의 통신을 가로채기 쉬워집니다.
따라서 프로덕션 환경에서 Teleport를 사용할 때는
인증서를 올바르게 구성하는 것이 중요합니다.
실행 중인 Teleport 클러스터. 설정 방법은
시작하기 가이드를 참조하세요 (TLS 인증서 설정 건너뜀).
인증서 또는 ACME 자동 인증서가 구성되지 않은 Teleport Proxy Service.
예를 들어 다음 Teleport Proxy Service 구성은 자체 서명 인증서를 사용합니다:
proxy_service:enabled:true# TLS certificate for the HTTPS connection.https_keypairs: []
# Get an automatic certificate from letsencrypt.org using ACME.acme: {}
실행 중인 Teleport 클러스터. 설정 방법은 Enterprise
시작하기 가이드를 참조하세요.
인증서 또는 ACME 자동 인증서가 구성되지 않은 Teleport Proxy Service.
예를 들어 다음 Teleport Proxy Service 구성은 자체 서명 인증서를 사용합니다:
proxy_service:enabled:true# TLS certificate for the HTTPS connection.https_keypairs: []
# Get an automatic certificate from letsencrypt.org using ACME.acme: {}
tctl 및 tsh 클라이언트 도구:
tctl과 tsh가 포함된 서명된 macOS .pkg 설치 프로그램을 다운로드합니다. Finder에서 pkg 파일을 더블클릭하여 설치를 시작합니다:
Homebrew를 사용하여 Teleport를 설치하는 것은 지원되지 않습니다. Homebrew의 Teleport 패키지는
Teleport에서 유지 관리하지 않으며 신뢰성이나 보안을 보장할 수 없습니다.
$ curl.exe -O https://cdn.teleport.dev/teleport-v(=teleport.version=)-windows-amd64-bin.zip
# Unzip the archive and move tsh.exe and tctl.exe to your %PATH%
# NOTE: Do not place tsh.exe and tctl.exe in the System32 directory, as this can cause issues when using WinSCP.
# Use %SystemRoot% (C:\Windows) or %USERPROFILE% (C:\Users\<username>) instead.
Linux 설치의 모든 Teleport 바이너리에는 tctl과 tsh가 포함됩니다. 더 많은 옵션
(RPM/DEB 패키지 및 i386/ARM/ARM64용 다운로드 포함)은
설치 페이지를 참조하세요.
$ curl -O https://cdn.teleport.dev/teleport-v(=teleport.version=)-linux-amd64-bin.tar.gz
$ tar -xzf teleport-v(=teleport.version=)-linux-amd64-bin.tar.gz
$ cd teleport
$ sudo ./install
# Teleport binaries have been copied to /usr/local/bin
tctl과 tsh가 Teleport 클러스터 버전보다 최대 한 메이저 버전 이하인지 확인하세요.
Proxy Service에 /v1/webapi/ping에 GET 요청을 보내고 JSON 쿼리 도구를 사용하여 클러스터 버전을 가져옵니다:
teleport로 Teleport 서비스를 실행할 때, 시작하는 서비스가 Teleport Proxy Service 엔드포인트를 가리키도록 구성되어 있고 Proxy Service가 자체 서명 인증서를 사용하는 경우 teleport를 --insecure 플래그로 실행하여
Proxy Service TLS 인증서 검증을 비활성화해야 합니다. 이는 다음과 같은 경우에 해당합니다:
Teleport 구성 파일의 proxy_server 설정이 Proxy Service 엔드포인트로 설정된 경우:
proxy_server: "tele.example.com:443" 또는
proxy_server: "tele.example.com:3080"
Teleport가 Proxy Service 엔드포인트를 가리키는 --auth-server 플래그로 시작된 경우:
teleport [app | db] start --auth-server=tele.example.com:443 또는
Teleport Proxy Service를 통해 원격으로 tctl을 실행할 때 Proxy Service가 자체 서명 인증서를 사용하는 경우
tctl은 Proxy Service의 인증서를 신뢰하지 않습니다.
인증서 검증을 비활성화하려면 tctl 명령을 실행할 때 --insecure 플래그를 사용합니다.
tctl은 다음 몇 가지 방법으로 Auth Service에 연결하는 방법을 결정합니다:
tsh로 로그인한 후 로컬 프로필에서 구성 로드
인수로 전달된 구성 파일에서 로드: tctl -c /etc/teleport.yaml
직접 --auth-server 플래그 전달:
tctl --auth-server=tele.example.com:443 또는
tctl --auth-server=tele.example.com:3080
이 방법 중 하나가 Teleport Proxy Service를 통해 연결하려고 시도하고 Proxy Service가 자체 서명 인증서를 사용하는 경우
tctl은 Proxy Service의 인증서를 신뢰하지 않으며, --insecure도 tctl에 전달하지 않으면 신뢰되지 않거나 유효하지 않은 인증서에 대한
오류 메시지가 표시됩니다.
tsh를 실행할 때 tsh가 연결할 Teleport Proxy Service 주소를 지정해야 합니다.
Teleport Proxy Service가 자체 서명 인증서를 사용하는 경우 tsh는 Proxy Service
인증서를 신뢰하지 않습니다.
이 경우 tsh를 사용하려면 --insecure 플래그를 사용해야 합니다.
예를 들어: tsh login --proxy=tele.example.com:443 --user=alice --insecure
