▲popopo 5달전 | parent | ★ favorite | on: Let’s Encrypt 인증서 유효기간 90일 → 45일 축소 발표 (2028년까지 단계적 적용)(letsencrypt.org)홈랩에 인증서 적용해 쓰고 있어서 TLS2030 에 관심을 갖고 준비 중이었는데요. Proxmox 나 Nginx Proxy Manager 에서 Let's Encrypt 인증서 자동 발급이 되기 때문에, 개별 도메인들은 특별히 문제가 안됩니다. 와일드카드 인증서는 한 번 발급 받아 여러 시스템에서 써야 하기 때문 에 Hashicorp Vault 같은 시스템이 필수입니다. 다른 방법이 있을까요? https://wiki.jellypo.pe.kr/ko/IT_Infra/Certificate 이런 아키텍쳐로 구성 했는데, FreeIPA 는 없어도 됩니다. Vault가 Intermediate CA가 아닌 ROOT CA가 되고, ROOT CA 를 각 시스템에 신뢰 CA로 등록하면 됩니다. FreeIPA 도 FreeIPA 클라이언트를 깔면서 신뢰 CA로 등록하는거라서, FreeIPA를 쓰느냐, Ansible 등으로 신뢰 CA로 등록하느냐의 문제입니다. FreeIPA 를 쓰면 내부 DNS 로 활용 가능하다는 점에서는 장점입니다만, 설치부터 운영, 장애 처리 난이도가 높은 편이라고 생각하기 때문에 Vault 만 쓰는게 낫다고 봅니다.
홈랩에 인증서 적용해 쓰고 있어서 TLS2030 에 관심을 갖고 준비 중이었는데요.
Proxmox 나 Nginx Proxy Manager 에서 Let's Encrypt 인증서 자동 발급이 되기 때문에, 개별 도메인들은 특별히 문제가 안됩니다.
와일드카드 인증서는 한 번 발급 받아 여러 시스템에서 써야 하기 때문 에 Hashicorp Vault 같은 시스템이 필수입니다. 다른 방법이 있을까요?
https://wiki.jellypo.pe.kr/ko/IT_Infra/Certificate
이런 아키텍쳐로 구성 했는데, FreeIPA 는 없어도 됩니다. Vault가 Intermediate CA가 아닌 ROOT CA가 되고, ROOT CA 를 각 시스템에 신뢰 CA로 등록하면 됩니다.
FreeIPA 도 FreeIPA 클라이언트를 깔면서 신뢰 CA로 등록하는거라서, FreeIPA를 쓰느냐, Ansible 등으로 신뢰 CA로 등록하느냐의 문제입니다.
FreeIPA 를 쓰면 내부 DNS 로 활용 가능하다는 점에서는 장점입니다만, 설치부터 운영, 장애 처리 난이도가 높은 편이라고 생각하기 때문에 Vault 만 쓰는게 낫다고 봅니다.