vSphere 6.0 이상에서는 VMCA(VMware 인증 기관)가 인증서로 사용자 환경을 프로비저닝합니다. 여기에는 보안 연결을 위한 시스템 SSL 인증서, vCenter Single Sign-On에 인증하기 위한 솔루션 사용자 인증서 및 vCenter Server에 추가된 ESXi 호스트용 인증서가 포함됩니다.

다음의 인증서가 사용됩니다.

표 1. vSphere 6.0의 인증서

인증서

프로비저닝 주체

저장 위치

ESXi 인증서

VMCA(기본값)

ESXi 호스트에 로컬로

시스템 SSL 인증서

VMCA(기본값)

VECS

솔루션 사용자 인증서

VMCA(기본값)

VECS

vCenter Single Sign-On SSL 서명 인증서

설치 도중 프로비저닝됩니다.

vSphere Web Client에서 이 인증서를 관리합니다.

경고:

파일 시스템에서 이 인증서를 변경하지 마십시오. 변경할 경우 예기치 않은 동작이 발생합니다.

vmdir(VMware 디렉토리 서비스) SSL 인증서

설치 도중 프로비저닝됩니다.

예외적 경우 이 인증서를 교체해야 할 수 있습니다. VMware 디렉토리 서비스 인증서 교체를 참조하십시오.

ESXi

ESXi 인증서는 각 호스트의 /etc/vmware/ssl 디렉터리에 로컬로 저장됩니다. ESXi 인증서는 기본적으로 VMCA에 의해 프로비저닝되지만 사용자 지정 인증서를 대신 사용할 수 있습니다. ESXi 인증서는 호스트가 처음 vCenter Server에 추가될 때와 호스트가 다시 연결될 때 프로비저닝됩니다.

시스템 SSL 인증서

각 노드의 시스템 SSL 인증서는 SSL 클라이언트가 연결하는 서버측에서 SSL 소켓을 만드는 데 사용됩니다. 인증서는 서버 확인 및 HTTPS나 LDAPS와 같은 보안 통신에 사용됩니다.

모든 서비스는 역방향 프록시를 통해 통신합니다. 호환성을 위해 이전 버전의 vSphere에서 사용 가능하던 서비스도 특정 포트를 사용할 수 있습니다. 예를 들어 vpxd 서비스는 MACHINE_SSL_CERT를 사용하여 끝점을 제공합니다.

모든 노드(내장된 배포, 관리 노드 또는 Platform Services Controller)에 자체 시스템 SSL 인증서가 있습니다. 해당 노드에서 실행 중인 모든 서비스는 이 시스템 SSL 인증서를 사용하여 SSL 끝점을 제공합니다.

시스템 SSL 인증서는 다음과 같은 방식으로 사용됩니다.

  • Platform Services Controller 노드의 역방향 프록시 서비스에 의해. 개별 vCenter 서비스로의 SSL 연결은 항상 역방향 프록시로 이동합니다. 트래픽이 서비스 자체로 이동하지 않습니다.

  • 관리 노드 및 포함된 노드의 vCenter 서비스(vpxd)에 의해.

  • 인프라 노드 및 포함된 노드의 vmdir(VMware 디렉토리 서비스)에 의해.

VMware 제품은 표준 X.509 버전 3(X.509v3) 인증서를 사용하여 구성 요소 사이에 SSL을 통해 전송되는 세션 정보를 암호화합니다.

솔루션 사용자 인증서

솔루션 사용자는 하나 이상의 vCenter Server 서비스를 캡슐화하고 인증서를 사용하여 SAML 토큰 교환을 통해 vCenter Single Sign-On에 인증합니다. 각 솔루션 사용자는 vCenter Single Sign-On에 인증되어야 합니다.

솔루션 사용자 인증서는 vCenter Single Sign-On에 인증하는 용도로 사용됩니다. 솔루션 사용자는 처음 인증해야 할 때, 재부팅 후, 시간 제한 경과 후에 vCenter Single Sign-On에 인증서를 제출해야 합니다. 시간 제한(키 소유자 시간 제한)은 vSphere Web Client에서 설정할 수 있으며 기본값은 2592000초(30일)입니다.

예를 들어 vpxd 솔루션 사용자는 vCenter Single Sign-On에 연결할 때 vCenter Single Sign-On에 인증서를 제출합니다. 그러면 vpxd 솔루션 사용자는 vCenter Single Sign-On으로부터 SAML 토큰을 받고 이 토큰을 사용하여 다른 솔루션 사용자 및 서비스에 인증할 수 있습니다.

각 관리 노드 및 각 내장된 배포의 VECS에 다음의 솔루션 사용자 인증서 저장소가 포함되어 있습니다.

  • machine: 구성 요소 관리자, 라이센스 서버 및 로깅 서비스에서 사용됩니다.

    참고:

    이 시스템 솔루션 사용자 인증서는 시스템 SSL 인증서와 아무 관련이 없습니다. 이 시스템 솔루션 사용자 인증서는 SAML 토큰 교환에 사용되며 시스템 SSL 인증서는 시스템에 대한 보안 SSL 연결에 사용됩니다.

  • vpxd: 관리 노드 및 내장된 배포의 vCenter 서비스 대몬(vpxd) 저장소. vpxd는 이 저장소에 저장된 솔루션 사용자 인증서를 사용하여 vCenter Single Sign-On에 인증합니다.

  • vpxd-extensions: vCenter 확장 저장소. Auto Deploy 서비스, Inventory Service를 비롯해 다른 솔루션 사용자의 일부가 아닌 기타 서비스가 포함됩니다.

  • vsphere-webclient: vSphere Web Client 저장소. 성능 차트 서비스와 같은 일부 추가 서비스도 포함됩니다.

시스템 저장소는 각 Platform Services Controller 노드에도 포함됩니다.

vCenter Single Sign-On 인증서

vCenter Single Sign-On 인증서는 VECS에 저장되지 않으며 인증서 관리 도구로 관리되지 않습니다. 원칙적으로 변경이 불필요하지만 특별한 경우 이 인증서를 교체할 수 있습니다.

vCenter Single Sign-On 서명 인증서

vCenter Single Sign-On 서비스에는 vSphere를 통한 인증에 사용되는 SAML 토큰을 발급하는 ID 제공자 서비스가 포함됩니다. SAML 토큰은 사용자의 ID를 나타내며 그룹 멤버 자격 정보도 포함합니다. vCenter Single Sign-On이 SAML 토큰을 발급하는 경우 서명 인증서로 각 토큰에 서명하므로 vCenter Single Sign-On의 클라이언트가 SAML 토큰이 신뢰할 수 있는 소스로부터 전송되었는지 확인할 수 있습니다.

vCenter Single Sign-On은 솔루션 사용자에게 키 소유자 SAML 토큰을 사용자 이름과 암호로 로그인하는 다른 사용자에게 보유자 토큰을 발급합니다.

vSphere Web Client에서 이 인증서를 교체할 수 있습니다. 보안 토큰 서비스 인증서 새로 고침를 참조하십시오.

VMware 디렉토리 서비스 SSL 인증서

사용자 지정 인증서를 사용하는 경우 VMware Directory Service SSL 인증서를 명시적으로 교체해야 할 수 있습니다. VMware 디렉토리 서비스 인증서 교체를 참조하십시오.