VMCA 루트 인증서를 인증서 체인에 VMCA가 중간 인증서로 포함된 CA 서명 인증서로 교체할 수 있습니다. 그러면 VMCA가 생성하는 모든 인증서에 전체 체인이 포함됩니다.

시작하기 전에

  • CSR을 생성합니다.

    • vSphere Certificate Manager를 사용하여 CSR을 생성할 수 있습니다. vSphere Certificate Manager를 사용하여 CSR 생성 및 루트 인증서(중간 CA) 준비 항목을 참조하십시오.

    • CSR을 수동으로 생성하려는 경우에는 서명을 위해 보내는 인증서는 다음 요구 사항을 충족해야 합니다.

      • 키 크기: 2048비트 이상

      • PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.

      • x509 버전 3

      • 사용자 지정 인증서를 사용하는 경우 CA 확장을 루트 인증서에 대해 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다.

      • CRL 서명을 사용하도록 설정해야 합니다.

      • 고급 키 사용에 클라이언트 인증 또는 서버 인증을 포함하면 안 됩니다.

      • 인증서 체인의 길이에 대한 명시적 제한이 없습니다. VMCA는 OpenSSL 기본값인 10개의 인증서를 사용합니다.

      • 와일드카드 또는 2개 이상의 DNS 이름이 있는 인증서는 지원되지 않습니다.

      • VMCA의 부수적인 CA를 생성할 수 없습니다.

        Microsoft CA(인증 기관)를 사용하는 예는 VMware 기술 자료 문서 2112009, Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0(vSphere 6.0에서 SSL 인증서 생성에 사용할 Microsoft CA(인증 기관) 템플릿 생성)을 참조하십시오.

  • 타사 또는 기업 CA로부터 인증서를 수신한 후에는 이 인증서를 초기 VMCA 루트 인증서와 결합하여, 맨 아래에 VMCA 루트 인증서가 있는 전체 체인을 생성합니다. vSphere Certificate Manager를 사용하여 CSR 생성 및 루트 인증서(중간 CA) 준비를 참조하십시오.

  • 필요한 정보를 수집합니다.

    • administrator@vsphere.local의 암호

    • 루트에 대한 유효한 사용자 지정 인증서(.crt 파일)

    • 루트에 유효한 사용자 지정 키(.key 키).

이 태스크 정보

포함된 설치 또는 외부 Platform Services Controller에서 vSphere Certificate Manager를 실행하여 VMCA 루트 인증서를 사용자 지정 서명 인증서로 교체합니다.

vSphere Certificate Manager는 사용자에게 다음 정보를 묻습니다.

프로시저

  1. 내장된 설치 환경 또는 외부 Platform Services Controller에서 vSphere Certificate Manager를 시작하고 옵션 2를 선택합니다.
  2. 옵션 2를 선택하여 인증서 교체를 시작하고 프롬프트에 응답합니다.
    1. 메시지가 표시되면 루트 인증서의 전체 경로를 지정합니다.
    2. 인증서를 처음 교체하는 경우에는 시스템 SSL 인증서에 사용할 정보를 요청하는 메시지가 표시됩니다.

      이 정보는 시스템의 필수 FQDN을 포함하며, certool.cfg 파일에 저장됩니다.

  3. 다중 노드 배포에서 루트 인증서를 교체하는 경우에는 모든 vCenter Server에서 서비스를 다시 시작해야 합니다.
  4. 다중 노드 배포의 경우 옵션 3(VMCA 인증서로 시스템 SSL 인증서 교체)과 옵션 6(VMCA 인증서로 솔루션 사용자 인증서 교체)을 사용하여 각 vCenter Server 인스턴스에 있는 모든 인증서를 다시 생성합니다.

    인증서를 교체하면 VMCA가 전체 체인으로 서명합니다.

다음에 수행할 작업

사용자 환경에 따라 추가 인증서를 명시적으로 교체해야 할 수 있습니다.