기본적으로 VMware Cloud Gateway는 설치 중에 생성되는 자체 서명된 인증서를 사용합니다. 인증서가 만료되거나 다른 인증서 제공자의 인증서를 사용하려는 경우 인증서를 교체할 수 있습니다.
참고: CA 서명 인증서만 사용해야 합니다.
프로시저
- SSH를 사용하여 VMware Cloud Gateway에 연결합니다.
- CA 서명 인증서의 경우 다음 단계를 수행하여 인증서를 생성합니다.
- 명령줄에 다음 명령을 입력하여 CSR(인증서 서명 요청)을 생성합니다.
openssl req -new -newkey rsa:4096 -nodes -out server.csr -keyout server.key
- 요청 프로세스에 따라 CA에 CSR을 제공합니다.
- CA에서 인증서를 받으면 VMware Cloud Gateway에서 액세스할 수 있는 위치에 인증서를 배치합니다.
- 잘 알려진 CA가 아닌 경우 루트 CA에 대한 다음 매개 변수가 다음과 같이 설정되어 있는지 확인합니다.
X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, Key Encipherment, Certificate Sign, CRL Sign참고: 끝점/시스템 SSL 인증서에서 키 암호화를 설정합니다. - CA에서 다음 파일을 구합니다.
- server.key: VMware Cloud Gateway 개인 키.
- server.crt: CA 서명 VMware Cloud Gateway 리프 인증서 및 모든 중간 CA 인증서(있는 경우).
- rootCA.pem: 인증서 체인의 루트 CA 인증서.
- 명령줄에 다음 명령을 입력하여 CSR(인증서 서명 요청)을 생성합니다.
- 다음 명령을 입력하여 server.crt, 모든 중간 CA(있는 경우) 및 개인 키(server.key)를 포함하는 전체 인증서 체인인 server.pem 파일을 생성합니다.
cat server.crt server.key > server.pemserver.pem은 세부 정보를 다음 순서로 포함해야 합니다.
---BEGIN CERTIFICATE--- <CERT> ---END CERTIFICATE--- ---BEGIN PRIVATE KEY--- <KEY> ---END PRIVATE KEY---
- 다음 명령을 입력하여 /etc/applmgmt/appliance 디렉토리에 있는 기존 server.pem 및 rootCA.pem을 백업합니다.
cp -p /etc/applmgmt/appliance/server.pem /etc/applmgmt/appliance/server.pem.bakcp -p /etc/applmgmt/appliance/rootCA.pem /etc/applmgmt/appliance/rootCA.pem.bak
- 다음 명령을 입력하고 새 파일을 사용하여 server.pem 및 rootCA.pem을 교체합니다.
cp -p server.pem rootCA.pem /etc/applmgmt/appliance/
- 다음 서비스를 동일한 순서로 다시 시작합니다.
systemctl restart gps_envoy.servicesystemctl restart aap_envoy.servicesystemctl restart rsyslog.service
- aca_watchdog service를 다시 시작하여 실행 중인 모든 VAP 에이전트를 다시 시작합니다.
systemctl restart aca_watchdog.service
