tmax-cloud · ranasa-05 · Oct 7, 2020 · Oct 7, 2020 · Oct 7, 2020 · Oct 7, 2020
diff --git a/HyperAuth/README.md b/HyperAuth/README.md
@@ -87,16 +87,30 @@ LoadBalancer, NodePort type의 service 생성 가능
 
 ## Step 2. SSL 인증서 생성
 * 목적 : `HTTPS 인증을 위한 openssl 인증서를 생성하고 secret으로 변환`
-* 생성 순서 : 아래 명령어를 실행하여 인증서 생성 및 secret을 생성 (Master Node의 특정 directory 내부에서 실행 권장)
+* 생성 순서 : 아래 명령어를 실행하여 인증서 생성 및 secret을 생성 (Master Node의 특정 directory 내부에서 실행 권장) (인증서 기한 10년 2020-12-04 이후부터 적용, 이전은 1년)
 ```bash
-    $ openssl req -newkey rsa:4096 -nodes -sha256 -keyout hyperauth.key -x509 -subj "/C=KR/ST=Seoul/O=tmax/CN=$(kubectl describe service hyperauth -n hyperauth | grep 'LoadBalancer Ingress' | cut -d ' ' -f7)" -days 365 -config <(cat /etc/ssl/openssl.cnf <(printf "[v3_ca]\nsubjectAltName=IP:$(kubectl describe service hyperauth -n hyperauth | grep 'LoadBalancer Ingress' | cut -d ' ' -f7)")) -out hyperauth.crt
-    $ CentOS의 경우 : openssl req -newkey rsa:4096 -nodes -sha256 -keyout hyperauth.key -x509 -subj "/C=KR/ST=Seoul/O=tmax/CN=(kubectl describe service hyperauth -n hyperauth | grep 'LoadBalancer Ingress' | cut -d ' ' -f7)" -days 365 -config <(cat /etc/pki/tls/openssl.cnf <(printf "[v3_ca]\nsubjectAltName=IP:$(kubectl describe service hyperauth -n hyperauth | grep 'LoadBalancer Ingress' | cut -d ' ' -f7)")) -out hyperauth.crt
+    $ openssl req -newkey rsa:4096 -nodes -sha256 -keyout hyperauth.key -x509 -subj "/C=KR/ST=Seoul/O=tmax/CN=$(kubectl describe service hyperauth -n hyperauth | grep 'LoadBalancer Ingress' | cut -d ' ' -f7)" -days 3650 -config <(cat /etc/ssl/openssl.cnf <(printf "[v3_ca]\nsubjectAltName=IP:$(kubectl describe service hyperauth -n hyperauth | grep 'LoadBalancer Ingress' | cut -d ' ' -f7)")) -out hyperauth.crt
+    $ CentOS의 경우 : openssl req -newkey rsa:4096 -nodes -sha256 -keyout hyperauth.key -x509 -subj "/C=KR/ST=Seoul/O=tmax/CN=$(kubectl describe service hyperauth -n hyperauth | grep 'LoadBalancer Ingress' | cut -d ' ' -f7)" -days 3650 -config <(cat /etc/pki/tls/openssl.cnf <(printf "[v3_ca]\nsubjectAltName=IP:$(kubectl describe service hyperauth -n hyperauth | grep 'LoadBalancer Ingress' | cut -d ' ' -f7)")) -out hyperauth.crt
     $ kubectl create secret tls hyperauth-https-secret --cert=./hyperauth.crt --key=./hyperauth.key -n hyperauth
     $ cp hyperauth.crt /etc/kubernetes/pki/hyperauth.crt
 ```
 * 비고 : 
     * Kubernetes Master가 다중화 된 경우, hyperauth.crt를 각 Master 노드들의 /etc/kubernetes/pki/hyperauth.crt 로 cp
-
+* 인증서 만료 됐을때
+    * 인증서 만료 확인 :  openssl x509 -in hyperauth.crt -noout -dates
+    * 인증서 재발급 및 secret 생성 적용
+```bash 
+    // 10년 짜리 인증서 재발급
+    $ openssl req -newkey rsa:4096 -nodes -sha256 -keyout hyperauth.key -x509 -subj "/C=KR/ST=Seoul/O=tmax/CN=$(kubectl describe service hyperauth -n hyperauth | grep 'LoadBalancer Ingress' | cut -d ' ' -f7)" -days 3650 -config <(cat /etc/ssl/openssl.cnf <(printf "[v3_ca]\nsubjectAltName=IP:$(kubectl describe service hyperauth -n hyperauth | grep 'LoadBalancer Ingress' | cut -d ' ' -f7)")) -out hyperauth.crt
+    $ CentOS의 경우 : openssl req -newkey rsa:4096 -nodes -sha256 -keyout hyperauth.key -x509 -subj "/C=KR/ST=Seoul/O=tmax/CN=(kubectl describe service hyperauth -n hyperauth | grep 'LoadBalancer Ingress' | cut -d ' ' -f7)" -days 3650 -config <(cat /etc/pki/tls/openssl.cnf <(printf "[v3_ca]\nsubjectAltName=IP:$(kubectl describe service hyperauth -n hyperauth | grep 'LoadBalancer Ingress' | cut -d ' ' -f7)")) -out hyperauth.crt
+
+    // hyperauth-https-secret-renewed 라는 이름으로 secret을 새롭게 만든다.
+    $ kubectl create secret tls hyperauth-https-secret-renewed --cert=./hyperauth.crt --key=./hyperauth.key -n hyperauth
+    $ cp hyperauth.crt /etc/kubernetes/pki/hyperauth.crt
+
+    // hyperauth deploy의 mount secret 이름을 바꾼다.
+    $ kubectl patch deployment hyperauth -n hyperauth --patch '{"spec":{"template":{"spec":{"volumes":[{"name":"ssl","secret":{"secretName":"hyperauth-https-secret-renewed"}}]}}}}'
+``` 
 
 ## Step 3. HyperAuth Deployment 배포
 * 목적 : `HyperAuth 설치`
@@ -115,7 +129,13 @@ LoadBalancer, NodePort type의 service 생성 가능
     * {HYPERCLOUD-CONSOLE_IP} = $(kubectl describe service console-lb -n console-system | grep 'LoadBalancer Ingress' | cut -d
  ' ' -f7)
     * 실행 : ./tmaxRealmImport.sh {HYPERAUTH_SERVICE_IP} {HYPERCLOUD-CONSOLE_IP}
-
+ * 메일 정보 입력
+    * Realm Settings - Email에 필수 입력 란을 채워야 메일 전송이 이루어진다.
+    * Host, From 을 입력한다. ex) mail.tmax.co.kr, [email protected]
+    * Enable Authentication을 ON 으로 바꾼다.
+    * Username, Password를 입력한다. (mail.tmax.co.kr에 로그인 할 수 있는 관리자 계정)
+    * Manage account - Account 의 Username, Email, First name, Last name을 입력한다.
+
 ## Step 4. Kubernetes OIDC 연동
 * 목적 : `Kubernetes의 RBAC 시스템과 HyperAuth 인증 연동`
 * 생성 순서 :
@@ -133,7 +153,7 @@ LoadBalancer, NodePort type의 service 생성 가능
     ```
 
 * 비고 :
-    * 자동으로 kube-apiserver 가 재기동 됨
+    * 자동으로 kube-apiserver 가 재기동 됨    
 
 #HyperAuth 유저 Migration Guide
 ## Hypercloud 4.0 User (CRD) Hyperauth 로 Migration