작성자: 송주환 (sjuhwan)
작성 일자: 2025/11/27
최종 수정 일자: 2025/11/27
Omnissa Horizon의 고가용성 구성을 구축하면, 관리자는 다수의 UAG와 커넥션 서버의 TLS 인증서를 관리해야 합니다. 특히 UAG의 경우 조직 외부 네트워크에 노출되는 경우가 많은데, CA/Browser Forum 에서 TLS 인증서의 최대 유효기간을 2029년 3월 15일까지 47일로 단축시키기로 했기 때문에, 기존의 1년 주기 수동 로테이션은 더 이상 유효하지 않습니다.
Omnissa Horizon은 REST API를 통해 UAG의 인증서를 교체할 수 있는 방법을 제공합니다. 하지만 그 방법을 설명하는 문서가 존재하지 않았기 때문에, 직접 랩 환경에서 REST API를 활용한 인증서 로테이션을 수행하는 방법을 테스트하고, 예제 스크립트를 포함하여 문서화 했습니다.
인증서 로테이션을 위한 전체 절차는 다음과 같습니다.
위와 같은 절차를 수행해야 하는 이유는, UAG는 인증서가 변경되는 즉시 연결된 세션을 모두 끊어버리기 때문입니다. 의도치 않은 작업 중단과 데이터 손실을 막기 위해서는 Quiesce Mode를 통한 커넥션 drain이 필수적입니다. 그리고 Drain 중에도 새로운 커넥션을 받을 수 있도록, UAG의 앞단에 로드 밸런서가 구성되어 있어야 합니다.