각 연결 서버 인스턴스는 자체 인증서에 대해 인증서 해지 검사를 수행합니다. 또한 각 인스턴스는 vCenter Server에 대한 연결을 설정할 때마다 vCenter Server의 인증서를 확인합니다. 기본적으로 루트 인증서를 제외한 체인의 모든 인증서가 검사됩니다. 그러나 이 기본 동작을 변경할 수 있습니다.
SAML 2.0 인증자가 연결 서버 인스턴스에서 사용되도록 구성된 경우 연결 서버가 SAML 2.0 서버 인증서에 대한 인증서 해지 검사도 수행합니다.
VMware Horizon 8는 CRL(인증서 해지 목록) 및 OCSP(온라인 인증서 상태 프로토콜)와 같은 다양한 방법을 사용하여 인증서 해지 검사를 지원합니다. CRL은 인증서를 발행한 CA에서 게시한 해지된 인증서 목록입니다. OCSP는 X.509 인증서의 해지 상태를 얻는 데 사용되는 인증서 유효성 검사 프로토콜입니다.
해지된 인증서 목록인 CRL은 종종 인증서에서 지정되는 인증서 배포 지점(DP)에서 다운로드됩니다. 서버가 인증서에 지정된 CRL DP URL에 정기적으로 연결하여 목록을 다운로드하고 서버 인증서가 해지되었는지 확인합니다. OCSP를 사용해 서버가 OCSP 응답자에 요청을 보내 인증서의 해지 상태를 확인합니다.
타사 인증 기관(CA)에서 서버 인증서를 가져온 경우 인증서에 해지 상태를 확인할 수 있는 수단이 하나 이상 포함되어 있습니다(예: OCSP 응답자의 CRL DP URL 또는 URL). 자체 CA가 있고 인증서를 생성하되 인증서에 해지 정보를 포함하지 않을 경우 인증서 해지 검사에 실패합니다. 그러한 인증서의 해지 정보에는 CRL을 호스팅하는 서버의 웹 기반 CRL DP에 대한 URL 등이 포함될 수 있습니다.
자체 CA가 있지만 인증서에 인증서 해지 정보를 포함하지 않거나 포함할 수 없는 경우 인증서에 대해 해지 검사를 수행하지 않거나 체인의 특정 인증서만 검사하도록 선택할 수 있습니다. 서버에서 Windows 레지스트리 편집기를 사용하여 HKLM\Software\VMware, Inc.\VMware VDM\Security 아래에서 문자열(REG_SZ) 값 CertificateRevocationCheckType을 생성하고 이 값을 다음 데이터 값 중 하나로 설정할 수 있습니다.
값 | 설명 |
---|---|
1 | 인증서 해지 검사를 수행하지 않습니다. |
2 | 서버 인증서만 검사합니다. 체인의 다른 인증서를 검사하지 않습니다. |
3 | 체인의 모든 인증서를 검사합니다. |
4 | (기본) 루트 인증서를 제외한 모든 인증서를 검사합니다. |
이 레지스트리 값이 설정되지 않았거나 설정된 값이 올바르지 않은 경우(즉, 이 값이 1, 2, 3 또는 4가 아닌 경우) 루트 인증서를 제외한 모든 인증서가 검사됩니다. 해지 검사를 수정할 각 서버에서 이 레지스트리 값을 설정합니다. 이 값을 설정한 후 시스템을 새로 시작할 필요가 없습니다.