신뢰할 수 있는 CA에서 서명된 TLS/SSL 서버 인증서를 Access Point 장치에 저장하려면 인증서를 올바른 형식으로 변환하고 PowerShell 스크립트나 Access Point REST API를 사용하여 인증서를 구성해야 합니다.

이 태스크 정보

VMware는 운영 환경에서 가능한 한 빨리 기본 인증서를 교체할 것을 권장합니다. Access Point 장치를 배포할 때 생성되는 기본 TLS/SSL 서버 인증서는 신뢰할 수 있는 인증 기관에서 서명되지 않았습니다.

중요:

인증서가 만료되기 전에 신뢰할 수 있는 CA에서 서명한 인증서를 정기적으로 교체하는 경우에도 이 절차를 사용합니다. 주기는 2년일 수 있습니다.

이 절차에서는 REST API를 사용하여 인증서를 교체하는 방법을 설명합니다. 쉬운 대체 방법은 https://communities.vmware.com/docs/DOC-30835에 있는 블로그 게시물 "Using PowerShell to Deploy VMware Access Point"(PowerShell을 사용하여 VMware Access Point 배포)에 첨부된 샘플 PowerShell 스크립트를 사용하는 것입니다. 명명된 Access Point 장치를 이미 배포한 경우 스크립트를 다시 실행하면 장치의 전원이 꺼지고 장치가 삭제되며, 지정된 현재 설정으로 장치가 다시 배포됩니다.

필수 조건

  • 이미 올바른 TLS/SSL 서버 인증서와 개인 키가 없으면 인증 기관에서 새로 서명된 인증서를 가져옵니다. CSR(인증서 서명 요청)을 생성하여 인증서를 가져올 때 개인 키도 생성되었는지 확인하십시오. 1024 미만인 KeyLength 값을 사용하여 서버의 인증서를 생성하지 마십시오.

    CSR을 생성하려면 클라이언트 디바이스에서 Access Point 장치에 연결할 때 사용할 FQDN(정규화된 도메인 이름)과 주체 이름을 완성하기 위한 조직 단위, 조직, 구/군/시 및 국가를 알고 있어야 합니다.

  • 인증서를 PEM 형식 파일로 변환하고 .pem 파일을 한 줄 형식으로 변환합니다. 인증서 파일을 한 줄 PEM 형식으로 변환의 내용을 참조하십시오.

  • Access Point REST API를 숙지합니다. 이 API의 사양은 Access Point가 설치된 가상 시스템의 URL(https://access-point-appliance.example.com:9443/rest/swagger.yaml)에서 확인할 수 있습니다.

프로시저

  1. Access Point 장치의 인증서를 제출하기 위한 JSON 요청을 생성합니다.
    {
      "privateKeyPem": "string",
      "certChainPem": "string"
    }

    이 예에서 string 값은 전제 조건에 설명된 대로 생성한 JSON 한 줄 PEM 값입니다.

  2. JSON 요청을 사용하여 Access Point REST API를 호출하고 Access Point 장치에 인증서와 키를 저장하려면 curl 또는 postman과 같은 REST 클라이언트를 사용합니다.

    다음 예에서는 curl 명령을 사용합니다. 예에서 access-point-appliance.example.comAccess Point 장치의 정규화된 도메인 이름이고 cert.json은 이전 단계에서 생성한 JSON 요청입니다.

    curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-appliance.example.com:9443/rest/v1/config/certs/ssl < ~/cert.json

다음에 수행할 작업

인증서에 서명한 CA가 잘 알려져 있지 않다면 루트 및 중간 인증서를 신뢰하도록 클라이언트를 구성하십시오.