기본적으로 Auto Deploy 서버는 VMCA에서 서명한 인증서로 각 호스트를 프로비저닝합니다. Auto Deploy 서버가 VMCA에서 서명하지 않은 사용자 지정 인증서로 모든 호스트를 프로비저닝하도록 설정할 수 있습니다. 이 시나리오에서 Auto Deploy 서버는 타사 CA의 하위 인증 기관이 됩니다.

시작하기 전에

  • CA의 요구 사항을 충족하는 인증서를 요청합니다.

    • 키 크기: 2048비트 이상(PEM 인코딩)

    • PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.

    • x509 버전 3

    • 루트 인증서의 경우 CA 확장을 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다.

    • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.

    • CRT 형식

    • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 부인 방지, 키 암호화

    • 현재 시간 하루 전 시작 시간

    • ESXi 호스트가 vCenter Server 인벤토리에 가지고 있는 호스트 이름(또는 IP 주소)으로 설정된 CN (및 SubjectAltName).

  • 인증서 및 키 파일을 rbd-ca.crtrbd-ca.key로 명명합니다.

프로시저

  1. 기본 ESXi 인증서를 백업합니다.

    인증서는 /etc/vmware-rbd/ssl/에 있습니다.

  2. vSphere Web Client에서 Auto Deploy 서비스를 중지합니다.
    1. 관리를 선택하고 배포 아래에서 시스템 구성을 클릭합니다.
    2. 서비스를 클릭합니다.
    3. 중지할 서비스를 마우스 오른쪽 버튼으로 클릭하고 중지를 선택합니다.
  3. Auto Deploy 서비스가 실행되는 시스템에서 /etc/vmware-rbd/ssl/rbd-ca.crtrbd-ca.key를 사용자 지정 인증서 및 키 파일로 교체합니다.
  4. Auto Deploy 서비스가 실행되는 시스템에서 새 인증서를 사용하도록 VECS의 TRUSTED_ROOTS 저장소를 업데이트합니다.
    vecs-cli entry delete --store TRUSTED_ROOTS --alias
    				rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias
    				rbd_cert --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    

    Windows

    C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe

    Linux

    /usr/lib/vmware-vmafd/bin/vecs-cli

  5. TRUSTED_ROOTS의 내용물이 포함된 castore.pem 파일을 생성하고 해당 파일을 /etc/vmware-rbd/ssl/ 디렉토리에 배치합니다.

    사용자 지정 모드에서는 사용자에게 이 파일을 관리할 책임이 있습니다.

  6. vCenter Server 시스템의 인증서 모드를 사용자 지정으로 변경합니다.

    인증서 모드 변경를 참조하십시오.

  7. vCenter Server 서비스를 다시 시작하고 Auto Deploy 서비스를 시작합니다.

결과

다음에 Auto Deploy를 사용하도록 설정된 호스트를 프로비저닝하면 Auto Deploy 서버가 TRUSTED_ROOTS 저장소에 추가한 루트 인증서를 사용하여 인증서를 생성합니다.