NSX Data Center for vSphere 소프트웨어는 VMware Cloud Director 환경에서 Edge 게이트웨이에 구성된 SSL VPN-Plus 및 IPsec VPN 터널과 함께 SSL(Secure Sockets Layer) 인증서를 사용할 수 있는 기능을 제공합니다.

VMware Cloud Director 환경의 Edge 게이트웨이는 자체 서명된 인증서, CA(인증 기관) 서명 인증서 및 CA 생성/서명 인증서를 지원합니다. CSR(인증서 서명 요청)을 생성하고, 인증서를 가져오고, 가져온 인증서를 관리하고, CRL(인증서 해지 목록)을 만들 수 있습니다.

조직 가상 데이터 센터에서 인증서 사용

VMware Cloud Director 조직 가상 데이터 센터의 다음 네트워킹 영역에 대한 인증서를 관리할 수 있습니다.

  • 조직 가상 데이터 센터 네트워크와 원격 네트워크 간의 IPsec VPN 터널
  • 개인 네트워크의 원격 사용자와 조직 가상 데이터 센터의 웹 리소스 간의 SSL VPN-Plus 연결
  • NSX Data Center for vSphere Edge 게이트웨이 간의 L2 VPN 터널
  • 조직 가상 데이터 센터의 로드 밸런싱을 위해 구성된 가상 서버 및 풀 서버

클라이언트 인증서 사용 방법

CAI 명령 또는 REST 호출을 통해 클라이언트 인증서를 생성할 수 있습니다. 그런 다음 이 인증서를 원격 사용자에게 배포하면 원격 사용자가 웹 브라우저에 이 인증서를 설치할 수 있습니다.

클라이언트 인증서를 구현하는 경우의 가장 큰 장점은 각 원격 사용자의 참조 클라이언트 인증서를 저장한 다음 원격 사용자가 제시하는 클라이언트 인증서와 비교 확인할 수 있다는 것입니다. 특정 사용자의 향후 연결을 차단하려면 클라이언트 인증서의 보안 서버 목록에서 참조 인증서를 삭제하면 됩니다. 인증서를 삭제하면 해당 사용자의 연결이 거부됩니다.

Edge 게이트웨이에 대한 인증서 서명 요청 생성

CA에서 서명된 인증서를 주문하거나 자체 서명된 인증서를 생성하려면 우선 Edge 게이트웨이에 대한 CSR(인증서 서명 요청)을 생성해야 합니다.

CSR은 SSL 인증서가 필요한 NSX Edge 게이트웨이에서 생성해야 하는 인코딩된 파일입니다. CSR을 사용하면 회사에서 회사 이름과 도메인 이름을 식별하는 정보와 함께 공용 키를 전송하는 방식을 표준화할 수 있습니다.

Edge 게이트웨이에서 유지되어야 하는 일치하는 개인 키 파일로 CSR을 생성합니다. CSR에는 일치하는 공용 키와 조직 이름, 위치, 도메인 이름과 같은 기타 정보가 포함되어 있습니다.

프로시저

  1. Edge 게이트웨이 서비스를 엽니다.
    1. 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
    2. 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
  2. 인증서 탭을 클릭합니다.
  3. 인증서 탭에서 CSR을 클릭합니다.
  4. CSR에 대한 다음 옵션을 구성합니다.
    옵션 설명
    일반 이름 인증서를 사용할 조직의 FQDN(정규화된 도메인 이름)을 입력합니다(예: www.example.com).

    일반 이름에 http:// 또는 https:// 접두사를 포함하지 마십시오.

    조직 구성 단위 이 필드는 이 인증서가 연결된 VMware Cloud Director 조직 내의 사업부를 서로 구분하는 데 사용합니다. 예를 들어 엔지니어링 또는 영업을 사용합니다.
    조직 이름 법적으로 등록되어 있는 회사 이름을 입력합니다.

    나열된 조직은 인증서 요청에 있는 도메인 이름의 법적 등록자여야 합니다.

    구/군/시 회사가 법적으로 등록되어 있는 시 또는 지역을 입력합니다.
    시/도 이름 회사가 법적으로 등록되어 있는 시/도의 약어가 아닌 전체 이름을 입력합니다.
    국가 코드 회사가 법적으로 등록되어 있는 국가 이름을 입력합니다.
    개인 키 알고리즘 인증서의 키 유형(RSA 또는 DSA)을 입력합니다.

    일반적으로 RSA가 사용됩니다. 키 유형은 호스트 간 통신을 위한 암호화 알고리즘을 정의합니다. FIPS 모드가 켜져 있으면, RSA 키 크기가 2048비트보다 크거나 같아야 합니다.

    참고: SSL VPN-Plus는 RSA 인증서만 지원합니다.
    키 크기 키 크기를 비트 단위로 입력합니다.

    최소 크기는 2048비트입니다.

    설명 (선택 사항) 인증서에 대한 설명을 입력합니다.
  5. 유지를 클릭합니다.
    시스템에서 CSR을 생성하고 'CSR' 유형의 새 항목을 화면 목록에 추가합니다.

결과

화면 목록에서 CSR 유형의 항목을 선택하면 CSR 세부 정보가 화면에 표시됩니다. CSR의 표시된 PEM 형식 데이터를 복사하고 이를 CA(인증 기관)에 제출하여 CA 서명된 인증서를 가져올 수 있습니다.

다음에 수행할 작업

CSR을 사용하여 서비스 인증서를 생성하는 방법에는 다음과 같은 두 가지 옵션이 있습니다.

Edge 게이트웨이에 대해 생성된 CSR에 해당하는 CA 서명된 인증서 가져오기

CSR(인증서 서명 요청)을 생성하고 이 CSR을 기반으로 CA 서명된 인증서를 가져온 후에는 Edge 게이트웨이에서 사용할 수 있도록 CA 서명된 인증서를 가져올 수 있습니다.

사전 요구 사항

CSR에 해당하는 CA 서명된 인증서를 가져왔는지 확인합니다. CA 서명된 인증서의 개인 키가 선택된 CSR의 개인 키와 일치하지 않는 경우 가져오기 프로세스가 실패합니다.

프로시저

  1. Edge 게이트웨이 서비스를 엽니다.
    1. 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
    2. 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
  2. 인증서 탭을 클릭합니다.
  3. 화면 테이블에서 CA 서명된 인증서를 가져오려는 관련 CSR을 선택합니다.
  4. 서명된 인증서를 가져옵니다.
    1. CSR에 대해 생성된 서명된 인증서를 클릭합니다.
    2. CA 서명된 인증서의 PEM 데이터를 제공합니다.
      • 데이터가 사용자가 이동할 수 있는 시스템의 PEM 파일에 있는 경우 업로드 버튼을 클릭하여 해당 파일을 찾아 선택합니다.
      • PEM 데이터를 복사하여 붙여 넣을 수 있는 경우 데이터를 서명된 인증서(PEM 형식) 필드에 붙여 넣습니다.

        -----BEGIN CERTIFICATE----------END CERTIFICATE----- 행을 포함합니다.

    3. (선택 사항) 설명을 입력할 수 있습니다.
    4. 유지를 클릭합니다.
      참고: CA 서명된 인증서의 개인 키가 [인증서] 화면에서 선택한 CSR의 개인 키와 일치하지 않는 경우 가져오기 프로세스가 실패합니다.

결과

유형이 '서비스 인증서'인 CA 서명된 인증서가 화면 목록에 나타납니다.

다음에 수행할 작업

필요한 대로 CA 서명된 인증서를 SSL VPN-Plus 또는 IPsec VPN 터널에 연결합니다. SSL VPN 서버 설정 구성글로벌 IPsec VPN 설정 지정의 내용을 참조하십시오.

자체 서명된 서비스 인증서 구성

VPN 관련 기능에서 사용하기 위해 자체 서명된 서비스 인증서를 Edge 게이트웨이와 함께 구성할 수 있습니다. 자체 서명된 인증서를 생성, 설치 및 관리할 수 있습니다.

[인증서] 화면에서 서비스 인증서를 사용할 수 있는 경우 Edge 게이트웨이의 VPN 관련 설정을 구성할 때 이 서비스 인증서를 지정할 수 있습니다. VPN은 지정된 서비스 인증서를 VPN에 액세스하는 클라이언트에 제공합니다.

사전 요구 사항

Edge 게이트웨이의 인증서 화면에서 하나 이상의 CSR을 사용할 수 있는지 확인합니다. Edge 게이트웨이에 대한 인증서 서명 요청 생성의 내용을 참조하십시오.

프로시저

  1. Edge 게이트웨이 서비스를 엽니다.
    1. 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
    2. 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
  2. 인증서 탭을 클릭합니다.
  3. 이 자체 서명된 인증서에 대해 사용하려는 CSR을 목록에서 선택하고 자체 서명 CSR을 클릭합니다.
  4. 자체 서명된 인증서의 유효 기간(일)을 입력합니다.
  5. 유지를 클릭합니다.
    시스템에서 자체 서명된 인증서를 생성하고 '서비스 인증서' 유형의 새 항목을 화면 목록에 추가합니다.

결과

Edge 게이트웨이에서 자체 서명된 인증서를 사용할 수 있습니다. 화면 목록에서 '서비스 인증서' 유형의 항목을 선택할 때 해당 세부 정보가 화면에 표시됩니다.

SSL 인증서 신뢰 확인을 위해 Edge 게이트웨이에 CA 인증서 추가

Edge 게이트웨이에 CA 인증서를 추가하면 인증을 위해 Edge 게이트웨이에 제공되는 SSL 인증서(일반적으로 Edge 게이트웨이에 대한 VPN 연결에 사용되는 클라이언트 인증서)의 신뢰를 확인할 수 있습니다.

일반적으로 회사 또는 조직의 루트 인증서를 CA 인증서로 추가합니다. 일반적으로 SSL VPN에서 인증서를 사용하여 VPN 클라이언트를 인증하는 데 사용할 수 있습니다. 클라이언트 인증서를 VPN 클라이언트에 배포할 수 있으며, VPN 클라이언트가 연결되면 해당 클라이언트 인증서가 CA 인증서에 대해 검증됩니다.

참고: CA 인증서를 추가할 때 일반적으로 관련 CRL(인증서 해지 목록)을 구성합니다. CRL은 해지된 인증서를 제시하는 클라이언트로부터 보호합니다. Edge 게이트웨이에 인증서 해지 목록 추가의 내용을 참조하십시오.

사전 요구 사항

PEM 형식의 CA 인증서 데이터가 있는지 확인합니다. 사용자 인터페이스에서, CA 인증서의 PEM 데이터를 붙여 넣거나 데이터가 들어 있고 로컬 시스템의 네트워크에서 사용할 수 있는 파일을 찾아 선택할 수 있습니다.

프로시저

  1. Edge 게이트웨이 서비스를 엽니다.
    1. 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
    2. 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
  2. 인증서 탭을 클릭합니다.
  3. CA 인증서를 클릭합니다.
  4. CA 인증서 데이터를 제공합니다.
    • 데이터가 사용자가 이동할 수 있는 시스템의 PEM 파일에 있는 경우 업로드 버튼을 클릭하여 해당 파일을 찾아 선택합니다.
    • PEM 데이터를 복사하여 붙여 넣을 수 있는 경우 데이터를 CA 인증서(PEM 형식) 필드에 붙여 넣습니다.

      -----BEGIN CERTIFICATE----------END CERTIFICATE----- 행을 포함합니다.

  5. (선택 사항) 설명을 입력할 수 있습니다.
  6. 유지를 클릭합니다.

결과

유형이 'CA 인증서'인 CA 인증서가 화면 목록에 나타납니다. 이제 Edge 게이트웨이의 VPN 관련 설정을 구성할 때 이 CA 인증서를 지정할 수 있습니다.

Edge 게이트웨이에 인증서 해지 목록 추가

CRL(인증서 해지 목록)은 발급 CA(인증 기관)에서 발표한 해지된 디지털 인증서의 목록으로, 이러한 해지된 인증서를 제시하는 사용자를 신뢰하지 않도록 시스템을 업데이트할 수 있습니다. Edge 게이트웨이에 CRL을 추가할 수 있습니다.

"NSX 관리 가이드" 에 설명된 대로, CRL에는 다음과 같은 항목이 포함되어 있습니다.

  • 해지된 인증서와 해지 이유
  • 인증서가 발급된 날짜
  • 인증서를 발급한 단체
  • 제안된 다음 릴리스 날짜

잠재적 사용자가 서버에 액세스하려고 하면 서버가 해당 특정 사용자의 CRL 항목을 기준으로 액세스를 허용하거나 거부합니다.

프로시저

  1. Edge 게이트웨이 서비스를 엽니다.
    1. 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
    2. 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
  2. 인증서 탭을 클릭합니다.
  3. CRL을 클릭합니다.
  4. CRL 데이터를 제공합니다.
    • 데이터가 사용자가 이동할 수 있는 시스템의 PEM 파일에 있는 경우 업로드 버튼을 클릭하여 해당 파일을 찾아 선택합니다.
    • PEM 데이터를 복사하여 붙여 넣을 수 있는 경우 데이터를 CRL(PEM 형식) 필드에 붙여 넣습니다.

      -----BEGIN X509 CRL----------END X509 CRL----- 행을 포함합니다.

  5. (선택 사항) 설명을 입력할 수 있습니다.
  6. 유지를 클릭합니다.

결과

CRL이 화면 목록에 나타납니다.

Edge 게이트웨이에 서비스 인증서 추가

Edge 게이트웨이에 서비스 인증서를 추가하면 이 인증서를 Edge 게이트웨이의 VPN 관련 설정에서 사용할 수 있습니다. 인증서 화면에 서비스 인증서를 추가할 수 있습니다.

사전 요구 사항

서비스 인증서가 있는지 그리고 그 개인 키가 PEM 형식인지 확인합니다. 사용자 인터페이스에서, PEM 데이터에 붙여 넣거나 PEM 데이터가 들어 있고 로컬 시스템의 네트워크에서 사용할 수 있는 파일로 이동할 수 있습니다.

프로시저

  1. Edge 게이트웨이 서비스를 엽니다.
    1. 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
    2. 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
  2. 인증서 탭을 클릭합니다.
  3. 서비스 인증서를 클릭합니다.
  4. 서비스 인증서의 PEM 형식 데이터를 입력합니다.
    • 데이터가 사용자가 이동할 수 있는 시스템의 PEM 파일에 있는 경우 업로드 버튼을 클릭하여 해당 파일을 찾아 선택합니다.
    • PEM 데이터를 복사하여 붙여 넣을 수 있는 경우 데이터를 서비스 인증서(PEM 형식) 필드에 붙여 넣습니다.

      -----BEGIN CERTIFICATE----------END CERTIFICATE----- 행을 포함합니다.

  5. 인증서 개인 키의 PEM 형식 데이터를 입력합니다.
    FIPS 모드가 켜져 있으면, RSA 키 크기가 2048비트보다 크거나 같아야 합니다.
    • 데이터가 사용자가 이동할 수 있는 시스템의 PEM 파일에 있는 경우 업로드 버튼을 클릭하여 해당 파일을 찾아 선택합니다.
    • PEM 데이터를 복사하여 붙여 넣을 수 있는 경우 데이터를 개인 키(PEM 형식) 필드에 붙여 넣습니다.

      -----BEGIN RSA PRIVATE KEY----------END RSA PRIVATE KEY----- 행을 포함합니다.

  6. 개인 키 암호를 입력하고 확인합니다.
  7. (선택 사항) 설명을 입력합니다.
  8. 유지를 클릭합니다.

결과

유형이 '서비스 인증서'인 인증서가 화면 목록에 나타납니다. 이제 Edge 게이트웨이의 VPN 관련 설정을 구성할 때 이 서비스 인증서를 선택할 수 있습니다.