NSX Data Center for vSphere 소프트웨어는 VMware Cloud Director 환경에서 Edge 게이트웨이에 구성된 SSL VPN-Plus 및 IPsec VPN 터널과 함께 SSL(Secure Sockets Layer) 인증서를 사용할 수 있는 기능을 제공합니다.
VMware Cloud Director 환경의 Edge 게이트웨이는 자체 서명된 인증서, CA(인증 기관) 서명 인증서 및 CA 생성/서명 인증서를 지원합니다. CSR(인증서 서명 요청)을 생성하고, 인증서를 가져오고, 가져온 인증서를 관리하고, CRL(인증서 해지 목록)을 만들 수 있습니다.
조직 가상 데이터 센터에서 인증서 사용
VMware Cloud Director 조직 가상 데이터 센터의 다음 네트워킹 영역에 대한 인증서를 관리할 수 있습니다.
- 조직 가상 데이터 센터 네트워크와 원격 네트워크 간의 IPsec VPN 터널
- 개인 네트워크의 원격 사용자와 조직 가상 데이터 센터의 웹 리소스 간의 SSL VPN-Plus 연결
- 두 NSX Data Center for vSphere Edge 게이트웨이 간의 L2 VPN 터널
- 조직 가상 데이터 센터의 로드 밸런싱을 위해 구성된 가상 서버 및 풀 서버
클라이언트 인증서 사용 방법
CAI 명령 또는 REST 호출을 통해 클라이언트 인증서를 생성할 수 있습니다. 그런 다음 이 인증서를 원격 사용자에게 배포하면 원격 사용자가 웹 브라우저에 이 인증서를 설치할 수 있습니다.
클라이언트 인증서를 구현하는 경우의 가장 큰 장점은 각 원격 사용자의 참조 클라이언트 인증서를 저장한 다음 원격 사용자가 제시하는 클라이언트 인증서와 비교 확인할 수 있다는 것입니다. 특정 사용자의 향후 연결을 차단하려면 클라이언트 인증서의 보안 서버 목록에서 참조 인증서를 삭제하면 됩니다. 인증서를 삭제하면 해당 사용자의 연결이 거부됩니다.
Edge 게이트웨이에 대한 인증서 서명 요청 생성
CA에서 서명된 인증서를 주문하거나 자체 서명된 인증서를 생성하려면 우선 Edge 게이트웨이에 대한 CSR(인증서 서명 요청)을 생성해야 합니다.
CSR은 SSL 인증서가 필요한 NSX Edge 게이트웨이에서 생성해야 하는 인코딩된 파일입니다. CSR을 사용하면 회사에서 회사 이름과 도메인 이름을 식별하는 정보와 함께 공용 키를 전송하는 방식을 표준화할 수 있습니다.
Edge 게이트웨이에서 유지되어야 하는 일치하는 개인 키 파일로 CSR을 생성합니다. CSR에는 일치하는 공용 키와 조직 이름, 위치, 도메인 이름과 같은 기타 정보가 포함되어 있습니다.
프로시저
결과
다음에 수행할 작업
CSR을 사용하여 서비스 인증서를 생성하는 방법에는 다음과 같은 두 가지 옵션이 있습니다.
- CSR을 CA에 전송하여 CA 서명된 인증서를 가져옵니다. CA에서 서명된 인증서를 전송하면 서명된 인증서를 시스템으로 가져옵니다. Edge 게이트웨이에 대해 생성된 CSR에 해당하는 CA 서명된 인증서 가져오기의 내용을 참조하십시오.
- CSR을 사용하여 자체 서명된 인증서를 생성합니다. 자체 서명된 서비스 인증서 구성의 내용을 참조하십시오.
Edge 게이트웨이에 대해 생성된 CSR에 해당하는 CA 서명된 인증서 가져오기
CSR(인증서 서명 요청)을 생성하고 이 CSR을 기반으로 CA 서명된 인증서를 가져온 후에는 Edge 게이트웨이에서 사용할 수 있도록 CA 서명된 인증서를 가져올 수 있습니다.
사전 요구 사항
프로시저
- Edge 게이트웨이 서비스를 엽니다.
- 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
- 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
- 인증서 탭을 클릭합니다.
- 화면 테이블에서 CA 서명된 인증서를 가져오려는 관련 CSR을 선택합니다.
- 서명된 인증서를 가져옵니다.
- CSR에 대해 생성된 서명된 인증서를 클릭합니다.
- CA 서명된 인증서의 PEM 데이터를 제공합니다.
- 데이터가 사용자가 이동할 수 있는 시스템의 PEM 파일에 있는 경우 업로드 버튼을 클릭하여 해당 파일을 찾아 선택합니다.
- PEM 데이터를 복사하여 붙여 넣을 수 있는 경우 데이터를 서명된 인증서(PEM 형식) 필드에 붙여 넣습니다.
-----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE----- 행을 포함합니다.
- (선택 사항) 설명을 입력할 수 있습니다.
- 유지를 클릭합니다.
참고: CA 서명된 인증서의 개인 키가 [인증서] 화면에서 선택한 CSR의 개인 키와 일치하지 않는 경우 가져오기 프로세스가 실패합니다.
결과
다음에 수행할 작업
필요한 대로 CA 서명된 인증서를 SSL VPN-Plus 또는 IPsec VPN 터널에 연결합니다. SSL VPN 서버 설정 구성 및 글로벌 IPsec VPN 설정 지정의 내용을 참조하십시오.
자체 서명된 서비스 인증서 구성
VPN 관련 기능에서 사용하기 위해 자체 서명된 서비스 인증서를 Edge 게이트웨이와 함께 구성할 수 있습니다. 자체 서명된 인증서를 생성, 설치 및 관리할 수 있습니다.
[인증서] 화면에서 서비스 인증서를 사용할 수 있는 경우 Edge 게이트웨이의 VPN 관련 설정을 구성할 때 이 서비스 인증서를 지정할 수 있습니다. VPN은 지정된 서비스 인증서를 VPN에 액세스하는 클라이언트에 제공합니다.
사전 요구 사항
Edge 게이트웨이의 인증서 화면에서 하나 이상의 CSR을 사용할 수 있는지 확인합니다. Edge 게이트웨이에 대한 인증서 서명 요청 생성의 내용을 참조하십시오.
프로시저
결과
SSL 인증서 신뢰 확인을 위해 Edge 게이트웨이에 CA 인증서 추가
Edge 게이트웨이에 CA 인증서를 추가하면 인증을 위해 Edge 게이트웨이에 제공되는 SSL 인증서(일반적으로 Edge 게이트웨이에 대한 VPN 연결에 사용되는 클라이언트 인증서)의 신뢰를 확인할 수 있습니다.
일반적으로 회사 또는 조직의 루트 인증서를 CA 인증서로 추가합니다. 일반적으로 SSL VPN에서 인증서를 사용하여 VPN 클라이언트를 인증하는 데 사용할 수 있습니다. 클라이언트 인증서를 VPN 클라이언트에 배포할 수 있으며, VPN 클라이언트가 연결되면 해당 클라이언트 인증서가 CA 인증서에 대해 검증됩니다.
사전 요구 사항
PEM 형식의 CA 인증서 데이터가 있는지 확인합니다. 사용자 인터페이스에서, CA 인증서의 PEM 데이터를 붙여 넣거나 데이터가 들어 있고 로컬 시스템의 네트워크에서 사용할 수 있는 파일을 찾아 선택할 수 있습니다.
프로시저
- Edge 게이트웨이 서비스를 엽니다.
- 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
- 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
- 인증서 탭을 클릭합니다.
- CA 인증서를 클릭합니다.
- CA 인증서 데이터를 제공합니다.
- 데이터가 사용자가 이동할 수 있는 시스템의 PEM 파일에 있는 경우 업로드 버튼을 클릭하여 해당 파일을 찾아 선택합니다.
- PEM 데이터를 복사하여 붙여 넣을 수 있는 경우 데이터를 CA 인증서(PEM 형식) 필드에 붙여 넣습니다.
-----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE----- 행을 포함합니다.
- (선택 사항) 설명을 입력할 수 있습니다.
- 유지를 클릭합니다.
결과
Edge 게이트웨이에 인증서 해지 목록 추가
CRL(인증서 해지 목록)은 발급 CA(인증 기관)에서 발표한 해지된 디지털 인증서의 목록으로, 이러한 해지된 인증서를 제시하는 사용자를 신뢰하지 않도록 시스템을 업데이트할 수 있습니다. Edge 게이트웨이에 CRL을 추가할 수 있습니다.
"NSX 관리 가이드" 에 설명된 대로, CRL에는 다음과 같은 항목이 포함되어 있습니다.
- 해지된 인증서와 해지 이유
- 인증서가 발급된 날짜
- 인증서를 발급한 단체
- 제안된 다음 릴리스 날짜
잠재적 사용자가 서버에 액세스하려고 하면 서버가 해당 특정 사용자의 CRL 항목을 기준으로 액세스를 허용하거나 거부합니다.
프로시저
- Edge 게이트웨이 서비스를 엽니다.
- 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
- 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
- 인증서 탭을 클릭합니다.
- CRL을 클릭합니다.
- CRL 데이터를 제공합니다.
- 데이터가 사용자가 이동할 수 있는 시스템의 PEM 파일에 있는 경우 업로드 버튼을 클릭하여 해당 파일을 찾아 선택합니다.
- PEM 데이터를 복사하여 붙여 넣을 수 있는 경우 데이터를 CRL(PEM 형식) 필드에 붙여 넣습니다.
-----BEGIN X509 CRL----- 및 -----END X509 CRL----- 행을 포함합니다.
- (선택 사항) 설명을 입력할 수 있습니다.
- 유지를 클릭합니다.
결과
Edge 게이트웨이에 서비스 인증서 추가
Edge 게이트웨이에 서비스 인증서를 추가하면 이 인증서를 Edge 게이트웨이의 VPN 관련 설정에서 사용할 수 있습니다. 인증서 화면에 서비스 인증서를 추가할 수 있습니다.
사전 요구 사항
프로시저
결과
유형이 '서비스 인증서'인 인증서가 화면 목록에 나타납니다. 이제 Edge 게이트웨이의 VPN 관련 설정을 구성할 때 이 서비스 인증서를 선택할 수 있습니다.