구성하는 시스템에 대한 요구 사항과 회사 정책에 따라 다양한 유형의 인증서 교체를 수행할 수 있습니다. vSphere Certificate Manager 유틸리티를 사용하거나 설치에 포함된 CLI를 사용하여 수동으로 각각의 교체를 수행할 수 있습니다.

VMCA는 각 Platform Services Controller와 각 내장된 배포에 포함되어 있습니다. VMCA는 각 노드, 각 vCenter Server 솔루션 사용자, 각 ESXi 호스트를 인증 기관인 VMCA에서 서명한 인증서로 프로비저닝합니다. vCenter Server 솔루션 사용자는 vCenter Server 서비스의 그룹입니다. 솔루션 사용자 목록은 vSphere 보안 항목을 참조하십시오.

기본 인증서를 교체할 수 있습니다. vCenter Server 구성 요소의 경우 설치에 포함된 명령줄 도구 집합을 사용할 수 있습니다. 여러 옵션이 있습니다.

교체 워크플로우 및 vSphere Certificate Manager 유틸리티에 대한 자세한 내용은 vSphere 보안 설명서를 참조하십시오.

VMCA에서 서명한 인증서로 교체

VMCA 인증서가 만료되거나 다른 이유로 인증서를 교체하려는 경우 인증서 관리 CLI를 사용하여 해당 프로세스를 수행할 수 있습니다. 기본적으로 VMCA 루트 인증서는 10년 후에 만료되고 VMCA에서 서명한 모든 인증서는 루트 인증서가 만료될 때 즉 최대 10년 후에 만료됩니다.

그림 1. VMCA에서 서명한 인증서가 VECS에 저장됨
기본 모드에서는 VMCA가 VMCA에서 서명한 인증서로 프로비저닝합니다.

VMCA를 중간 CA로 만들기

VMCA 루트 인증서를 엔터프라이즈 CA 또는 타사 CA에서 서명한 인증서로 교체할 수 있습니다. VMCA는 인증서를 프로비저닝하고 VMCA를 중간 CA로 만들 때마다 사용자 지정 루트 인증서에 서명합니다.

참고:

외부 Platform Services Controller가 포함된 새로 설치를 수행하는 경우 먼저 Platform Services Controller를 설치한 다음 VMCA 루트 인증서를 교체합니다. 다음으로 다른 서비스를 설치하거나 환경에 ESXi 호스트를 추가합니다. 내장된 Platform Services Controller로 새로 설치를 수행하는 경우 ESXi 호스트를 추가하기 전에 VMCA 루트 인증서를 교체합니다. 그렇게 하면 모든 인증서가 전체 체인에 의해 서명되고 새 인증서를 생성하지 않아도 됩니다.

그림 2. 타사 또는 엔터프라이즈 CA에서 서명한 인증서가 VMCA를 중간 CA로 사용
VMCA 인증서는 중간 인증서로 포함됩니다. 루트 인증서는 타사 CA에 의해 서명됩니다.

VMCA 사용 안 함, 사용자 지정 인증서로 프로비저닝

사용자 지정 인증서로 기존 VMCA 서명된 인증서를 교체할 수 있습니다. 해당 접근 방식을 사용하는 경우 모든 인증서 프로비저닝 및 모니터링에 대한 책임이 있습니다.

그림 3. 외부 인증서가 VECS에 직접 저장됨
외부 인증서는 VECS에 직접 저장됩니다. VMCA는 사용되지 않습니다.

하이브리드 배포

VMCA가 인증서 중 일부를 제공하도록 하면서 인프라의 다른 부분에 사용자 지정 인증서를 사용할 수 있습니다. 예를 들어 솔루션 사용자 인증서는 vCenter Single Sign-On에 인증하는 데에만 사용되므로 VMCA를 통해 이러한 인증서를 프로비저닝하는 것을 고려합니다. 모든 SSL 트래픽을 보호하려면 사용자 지정 인증서로 시스템 SSL 인증서를 교체합니다.

ESXi 인증서 교체

ESXi 호스트의 경우 vSphere Web Client에서 인증서 프로비저닝 동작을 변경할 수 있습니다.

VMware 인증 기관 모드(기본값)

vSphere Web Client에서 인증서를 갱신하는 경우 VMCA는 해당 호스트에 대한 인증서를 발급합니다. 인증서 체인을 포함하도록 VMCA 루트 인증서를 변경한 경우 호스트 인증서에는 전체 체인이 포함됩니다.

사용자 지정 인증 기관 모드

VMCA에서 서명하거나 발급하지 않은 인증서를 수동으로 업데이트하고 사용할 수 있습니다.

지문 모드

새로 고침 동안 5.5 인증서를 유지하는 데 사용할 수 있습니다. 디버깅 상황에서만 일시적으로 이 모드를 사용합니다.