대부분의 회사에서는 외부에서 액세스할 수 있는 서비스의 인증서만 교체하면 됩니다. 하지만 Certificate Manager는 솔루션 사용자 인증서를 교체하는 기능도 지원합니다. 솔루션 사용자는 서비스의 모음(예: vSphere Web Client와 연결된 모든 서비스)입니다. 다중 노드 배포에서는 Platform Services Controller에 있는 시스템 솔루션 사용자 인증서 및 각 관리 노드에 있는 솔루션 사용자 전체 집합을 교체합니다.

이 태스크 정보

솔루션 사용자 인증서를 제공하라는 메시지가 표시되면 타사 CA의 전체 서명 인증서 체인을 제공합니다.

형식은 다음과 비슷해야 합니다.

-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

필수 조건

시작하기 전에 사용자 환경의 각 시스템에 대한 CSR이 필요합니다. vSphere Certificate Manager를 사용하거나 명시적으로 CSR을 생성할 수 있습니다.

  1. vSphere Certificate Manager를 사용하여 CSR을 생성하려면 vSphere Certificate Manager를 사용하여 인증서 서명 요청 생성(사용자 지정 인증서)을(를) 참조하십시오.

  2. 타사 또는 엔터프라이즈 CA에서 각 노드의 솔루션 사용자별로 인증서를 요청합니다. vSphere Certificate Manager를 사용하여 CSR을 생성하거나 직접 준비할 수 있습니다. CSR은 다음 요구 사항을 충족해야 합니다.

    • 키 크기: 2048비트 이상(PEM 인코딩)

    • CRT 형식

    • x509 버전 3

    • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.

    • 각 솔루션 사용자 인증서마다 Subject가 서로 달라야 합니다. 예를 들어 솔루션 사용자 이름(예: vpxd) 또는 다른 고유한 ID를 포함하는 것을 고려하십시오.

    • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 부인 방지, 키 암호화

VMware 기술 자료 문서 2112014, Microsoft Certificate Authority에서 vSphere 인증서 가져오기를 참조하십시오.

프로시저

  1. vSphere Certificate Manager를 시작하고 옵션 5를 선택합니다.
  2. 옵션 2를 선택하여 인증서 교체를 시작하고 프롬프트에 응답합니다.

    vSphere Certificate Manager는 사용자에게 다음 정보를 묻습니다.

    • administrator@vsphere.local의 암호

    • 시스템 솔루션 사용자의 인증서 및 키.

    • Platform Services Controller 노드에서 vSphere Certificate Manager를 실행하는 경우 시스템 솔루션 사용자의 인증서와 키(vpxd.crtvpxd.key)를 요청하는 메시지가 나타납니다.

    • 관리 노드 또는 내장된 배포에서 vSphere Certificate Manager를 실행할 경우에는 모든 솔루션 사용자의 전체 인증서 및 키(vpxd.crtvpxd.key) 집합을 요청하는 메시지가 나타납니다.

다음에 수행할 작업

vSphere 5.x 환경에서 업그레이드하는 경우 vmdir 내에서 vCenter Single Sign-On 인증서를 교체해야 할 수 있습니다. 혼합 모드 환경에서 VMware 디렉토리 서비스 인증서 교체의 내용을 참조하십시오.