사용자 지정 인증서를 받은 후에는 각 시스템 인증서를 교체할 수 있습니다.

시작하기 전에

타사 또는 엔터프라이즈 인증 기관에서 각 시스템에 대한 인증서를 받은 상태여야 합니다.

  • 키 크기: 2048비트 이상(PEM 인코딩)

  • CRT 형식

  • x509 버전 3

  • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.

  • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 부인 방지, 키 암호화

이 태스크 정보

각 시스템마다 다른 서비스와의 보안 통신을 위한 시스템 SSL 인증서가 있어야 합니다. 다중 노드 배포에서는 각 노드에서 시스템 SSL 인증서 생성 명령을 실행해야 합니다. --server 매개 변수를 사용하여 외부 Platform Services Controller가 포함된 vCenter Server에서 Platform Services Controller를 가리킵니다.

인증서 교체를 시작하기 전에 다음 정보를 준비해야 합니다.

  • administrator@vsphere.local의 암호

  • 유효한 시스템 SSL 사용자 지정 인증서(.crt 파일)

  • 유효한 시스템 SSL 사용자 지정 키(.key 파일)

  • 루트에 대한 유효한 사용자 지정 인증서(.crt 파일)

  • 다중 노드 배포 환경에서 외부 Platform Services Controller가 포함된 vCenter Server에 대해 명령을 실행하는 경우 Platform Services Controller의 IP 주소

프로시저

  1. 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.

    서비스 이름은 Windows와 vCenter Server Appliance에서 서로 다릅니다.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  2. 각 노드에 로그인하여 CA에서 받은 새 시스템 인증서를 VECS에 추가합니다.

    모든 시스템은 SSL을 통해 통신하려면 로컬 인증서 저장소에 새 인증서가 필요합니다.

    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
    --key <key-file-path>
  3. 모든 서비스를 다시 시작합니다.
    service-control --start --all
    

시스템 SSL 인증서를 사용자 지정 인증서로 교체

같은 방법으로 각 노드에서 시스템 SSL 인증서를 교체할 수 있습니다.

  1. 먼저 VECS에서 기존 인증서를 삭제합니다.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
  2. 그런 다음 교체 인증서를 추가합니다.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv

다음에 수행할 작업

ESXi 호스트의 인증서를 교체할 수도 있습니다. vSphere 보안 자료를 참조하십시오.

다중 노드 배포에서 루트 인증서를 교체한 후에는 외부 Platform Services Controller 노드가 포함된 모든 vCenter Server에서 서비스를 다시 시작해야 합니다.