certool CLI를 사용하여 새 VMCA 서명 인증서를 생성하고 이를 vmdir에 게시합니다.

이 태스크 정보

다중 노드 배포에서는 Platform Services Controller에서 루트 인증서 생성 명령을 실행합니다.

프로시저

  1. 새 자체 서명 인증서 및 개인 키를 생성합니다.
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. 기존 루트 인증서를 새 인증서로 교체합니다.
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>

    명령은 인증서를 생성하여 vmdir에 추가하고 VECS에 추가합니다.

  3. 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.

    서비스 이름은 Windows와 vCenter Server Appliance에서 서로 다릅니다.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. (선택 사항) : 새 루트 인증서를 vmdir에 게시합니다.
    dir-cli trustedcert publish --cert newRoot.crt
    

    이 명령을 실행하면 vmdir의 모든 인스턴스가 즉시 업데이트됩니다. 그렇지 않은 경우에는 모든 인스턴스로 전파하는 데 약간의 시간이 걸릴 수 있습니다.

  5. 모든 서비스를 다시 시작합니다.
    service-control --start --all
    

새 VMCA 서명 루트 인증서 생성

다음 예에서는 현재 루트 CA 정보를 확인하고 루트 인증서를 다시 생성하는 전체 단계를 보여 줍니다.

  1. (선택 사항) VMCA 루트 인증서를 나열하여 인증서 저장소에 있는지 확인합니다.

    • Platform Services Controller 노드 또는 포함된 설치의 경우:

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
    • 관리 노드의 경우(외부 설치):

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>

    출력은 다음과 비슷합니다.

    output:
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af
        ...
    

  2. (선택 사항) VECS TRUSTED_ROOTS 저장소를 나열하고 여기의 인증서 일련 번호를 1단계의 출력과 비교합니다.

    VECS가 vmdir을 폴링하므로 이 명령은 Platform Services Controller와 관리 노드 모두에서 작동합니다.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
    

    루트 인증서가 하나만 있는 가장 간단한 경우 출력은 다음과 비슷합니다.

    Number of entries in store :    1
    Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
    Entry type :    Trusted Cert
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af

  3. 새 VMCA 루트 인증서를 생성합니다. 인증서가 VECS 및 vmdir(VMware 디렉토리 서비스)의 TRUSTED_ROOTS 저장소에 추가됩니다.

    C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"

    Windows에서는 명령이 기본적으로 certool.cfg 파일을 사용하므로 --config는 선택 사항입니다.