시스템 SSL 인증서를 교체한 후에는 VMCA 서명 솔루션 사용자 인증서를 타사 또는 엔터프라이즈 인증서로 교체할 수 있습니다.

시작하기 전에

  • 키 크기: 2048비트 이상(PEM 인코딩)

  • CRT 형식

  • x509 버전 3

  • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.

  • 각 솔루션 사용자 인증서마다 Subject가 서로 달라야 합니다. 예를 들어 솔루션 사용자 이름(예: vpxd) 또는 다른 고유한 ID를 포함하는 것을 고려하십시오.

  • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 부인 방지, 키 암호화

이 태스크 정보

솔루션 사용자는 vCenter Single Sign-On에 인증할 때만 인증서를 사용합니다. 인증서가 유효하면 vCenter Single Sign-On이 SAML 토큰을 솔루션 사용자에게 할당하며 솔루션 사용자는 SAML 토큰을 사용하여 다른 vCenter 구성 요소에 인증합니다.

환경에서 솔루션 사용자 인증서의 교체가 필요한지 고려하십시오. 솔루션 사용자는 프록시 서버 뒤에 있고 시스템 SSL 인증서가 SSL 트래픽의 보안에 사용되므로, 솔루션 사용자 인증서는 보안의 우려가 적을 수 있습니다.

각 관리 노드 및 각 Platform Services Controller 노드에서 시스템 솔루션 사용자 인증서를 교체합니다. 다른 솔루션 사용자 인증서는 각 관리 노드에서만 교체합니다. 외부 Platform Services Controller를 사용하는 관리 노드에서 명령을 실행할 때는 --server 매개 변수를 사용하여 Platform Services Controller를 가리킵니다.

참고:

대규모 배포의 솔루션 사용자 인증서를 나열할 경우 dir-cli list의 출력에는 모든 노드의 모든 솔루션 사용자가 포함됩니다. 각 호스트의 로컬 시스템 ID를 찾으려면 vmafd-cli get-machine-id --server-name localhost를 실행하십시오. 각 솔루션 사용자 이름에 시스템 ID가 포함되어 있습니다.

프로시저

  1. 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmca
    
  2. 각 솔루션 사용자의 이름을 찾습니다.
    dir-cli service list 
    

    인증서를 교체할 때 반환된 고유 ID를 사용할 수 있습니다. 입력 및 출력이 다음과 같을 수 있습니다.

    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
    Enter password for administrator@vsphere.local:
    1. machine-1d364500-4b45-11e4-96c2-020011c98db3
    2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
    3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
    4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3

    다중 노드 배포의 솔루션 사용자 인증서를 나열할 경우 dir-cli 의 출력에는 모든 노드의 모든 솔루션 사용자가 포함됩니다. 각 호스트의 로컬 시스템 ID를 찾으려면 vmafd-cli get-machine-id --server-name localhost를 실행하십시오. 각 솔루션 사용자 이름에 시스템 ID가 포함되어 있습니다.

  3. 각 솔루션 사용자에 대해 VECS 및 vmdir에서 차례로 기존 인증서를 교체합니다.

    이 순서로 인증서를 추가해야 합니다.

    vecs-cli entry delete --store vpxd --alias vpxd
    vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    dir-cli service update --name <vpxd-xxxx-xxx-xxxxxx> --cert vpxd.crt
    
    참고:

    vmdir에서 인증서를 교체하지 않으면 솔루션 사용자가 vCenter Single Sign-On에 인증할 수 없습니다.

  4. 모든 서비스를 다시 시작합니다.
    service-control --start --all