인증서 요구 사항은 VMCA를 중간 CA로 사용하는지, 아니면 사용자 지정 인증서를 사용하는지에 따라 달라집니다. 또한 시스템 인증서와 솔루션 사용자 인증서 간에 요구 사항이 다릅니다.

시작하기 전에 환경의 모든 노드에서 시간이 동기화되는지 확인합니다.

가져온 모든 인증서에 대한 요구 사항

  • 키 크기: 2048비트 이상(PEM 인코딩)

  • PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.

  • x509 버전 3

  • SubjectAltName에는 DNS Name=machine_FQDN이 포함되어야 합니다.

  • CRT 형식

  • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 부인 방지, 키 암호화

  • 고급 키 사용에 클라이언트 인증과 서버 인증을 포함하면 안 됩니다.

VMCA는 다음 인증서를 지원하지 않습니다.

  • 와일드카드가 있는 인증서

  • 알고리즘 md2WithRSAEncryption 1.2.840.113549.1.1.2, md5WithRSAEncryption 1.2.840.113549.1.1.4 및 sha1WithRSAEncryption 1.2.840.113549.1.1.5는 권장되지 않습니다.

  • 또한 RSASSA-PSS(OID 1.2.840.113549.1.1.10) 알고리즘은 지원되지 않습니다.

인증서의 RFC 2253 규정 준수

인증서는 RFC 2253 규정을 준수해야 합니다.

Certificate Manager를 사용하여 CSR을 생성하지 않는 경우 CSR에 다음 필드가 포함되어 있어야 합니다.

문자열

X.500 AttributeType

CN

commonName

L

localityName

ST

stateOrProvinceName

O

organizationName

OU

organizationalUnitName

C

countryName

STREET

streetAddress

DC

domainComponent

UID

userid

Certificate Manager를 사용하여 CSR을 생성하는 경우 다음 정보를 묻는 메시지가 나타나며 Certificate Manager에서 해당 필드를 CSR 파일에 추가합니다.

  • 연결하는 vCenter Single Sign-On 도메인의 관리자 또는 dministrator@vsphere.local 사용자의 암호

  • 외부 Platform Services Controller가 있는 환경에서 CSR을 생성할 경우 Platform Services Controller의 호스트 이름 또는 IP 주소를 입력하라는 메시지가 표시됩니다.

  • Certificate Manager가 certool.cfg 파일에 저장하는 정보 대부분의 필드에서 기본값을 수락하거나 사이트별 값을 제공할 수 있습니다. 시스템의 FQDN은 필수 항목입니다.

    • administrator@vsphere.local의 암호

    • 두 글자의 국가 코드

    • 회사 이름

    • 조직 이름

    • 조직 구성 단위

    • 상태

    • 구/군/시

    • IP 주소(선택 사항)

    • 이메일

    • 호스트 이름, 즉 인증서를 교체하려고 하는 시스템의 정규화된 도메인 이름. 호스트 이름이 FQDN과 일치하지 않으면 인증서 교체가 올바르게 완료되지 않으며 환경이 불안정한 상태가 될 수 있습니다.

    • vCenter Server (관리) 노드에서 명령을 실행하는 경우 Platform Services Controller의 IP 주소

VMCA를 중간 CA로 사용하는 경우의 요구 사항

VMCA를 중간 CA로 사용하는 경우 인증서가 다음 요구 사항을 충족해야 합니다.

인증서 유형

인증서 요구 사항

루트 인증서

  • vSphere Certificate Manager를 사용하여 CSR을 생성할 수 있습니다. vSphere Certificate Manager를 사용하여 CSR 생성 및 루트 인증서(중간 CA) 준비의 내용을 참조하십시오.

  • CSR을 수동으로 생성하려는 경우에는 서명을 위해 보내는 인증서가 다음 요구 사항을 충족해야 합니다.

    • 키 크기: 2048비트 이상

    • PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.

    • x509 버전 3

    • 사용자 지정 인증서를 사용하는 경우 CA 확장을 루트 인증서에 대해 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다.

    • CRL 서명을 사용하도록 설정해야 합니다.

    • 고급 키 사용에 클라이언트 인증 또는 서버 인증을 포함하면 안 됩니다.

    • 인증서 체인의 길이에 대한 명시적 제한이 없습니다. VMCA는 OpenSSL 기본값인 10개의 인증서를 사용합니다.

    • 와일드카드 또는 2개 이상의 DNS 이름이 있는 인증서는 지원되지 않습니다.

    • VMCA의 부수적인 CA를 생성할 수 없습니다.

      Microsoft CA(인증 기관)를 사용하는 예는 VMware 기술 자료 문서 2112009, Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0(vSphere 6.0에서 SSL 인증서 생성에 사용할 Microsoft CA(인증 기관) 템플릿 생성)을 참조하십시오.

시스템 SSL 인증서

vSphere Certificate Manager를 사용하여 CSR을 생성하거나 수동으로 CSR을 생성할 수 있습니다.

CSR을 수동으로 생성하는 경우 위의 가져온 모든 인증서에 대한 요구 사항 목록에 나온 요구 사항을 충족해야 합니다. 또한 호스트의 FQDN을 지정해야 합니다.

솔루션 사용자 인증서

vSphere Certificate Manager를 사용하여 CSR을 생성하거나 수동으로 CSR을 생성할 수 있습니다.

참고:

각 솔루션 사용자의 이름에 다른 값을 사용해야 합니다. 인증서를 수동으로 생성하는 경우 사용하는 도구에 따라 주체 아래에 CN으로 표시될 수 있습니다.

vSphere Certificate Manager를 사용하는 경우 각 솔루션 사용자에 대한 인증서 정보를 입력하라는 메시지가 표시됩니다. vSphere Certificate Manager가 이 정보를 certool.cfg에 저장합니다. Certificate Manager에서 요청하는 정보를 참조하십시오.

사용자 지정 인증서에 대한 요구 사항

사용자 지정 인증서를 사용하려면 인증서가 다음 요구 사항을 충족해야 합니다.

인증서 유형

인증서 요구 사항

시스템 SSL 인증서

각 노드의 시스템 SSL 인증서는 타사 또는 엔터프라이즈 CA에서 받은 별도의 인증서를 가져야 합니다.

  • vSphere Certificate Manager를 사용하여 CSR을 생성하거나 수동으로 생성할 수 있습니다. CSR은 위의 가져온 모든 인증서에 대한 요구 사항 목록에 나온 요구 사항을 충족해야 합니다.

  • vSphere Certificate Manager를 사용하는 경우 각 솔루션 사용자에 대한 인증서 정보를 입력하라는 메시지가 표시됩니다. vSphere Certificate Manager가 이 정보를 certool.cfg에 저장합니다. Certificate Manager에서 요청하는 정보를 참조하십시오.

  • 대부분의 필드에서 기본값을 수락하거나 사이트별 값을 제공할 수 있습니다. 시스템의 FQDN은 필수 항목입니다.

솔루션 사용자 인증서

각 노드의 각 솔루션 사용자는 타사 또는 엔터프라이즈 CA에서 받은 별도의 인증서를 가져야 합니다.

  • vSphere Certificate Manager를 사용하여 CSR을 생성하거나 직접 준비할 수 있습니다. CSR은 위의 가져온 모든 인증서에 대한 요구 사항 목록에 나온 요구 사항을 충족해야 합니다.

  • vSphere Certificate Manager를 사용하는 경우 각 솔루션 사용자에 대한 인증서 정보를 입력하라는 메시지가 표시됩니다. vSphere Certificate Manager가 이 정보를 certool.cfg에 저장합니다. Certificate Manager에서 요청하는 정보를 참조하십시오.

    참고:

    각 솔루션 사용자의 이름에 다른 값을 사용해야 합니다. 인증서를 수동으로 생성하는 경우 사용하는 도구에 따라 주체 아래에 CN으로 표시될 수 있습니다.

이후에 솔루션 사용자 인증서를 사용자 지정 인증서로 교체하는 경우 타사 CA의 전체 서명 인증서 체인을 제공해야 합니다.

참고:

사용자 지정 인증서에는 CRL 배포 지점, 기관 정보 액세스 또는 인증서 템플릿 정보를 사용하지 마십시오.