vSphere 6.0 이상에서는 VMCA(VMware Certificate Authority)가 인증서로 사용자 환경을 프로비저닝합니다. 인증서에는 연결을 보호하기 위한 시스템 SSL 인증서, vCenter Single Sign-On에서 서비스를 인증하기 위한 솔루션 사용자 인증서 및 ESXi 호스트에 대한 인증서가 포함됩니다.

다음의 인증서가 사용됩니다.

표 1. vSphere 6.0의 인증서

인증서

프로비저닝됨

주석

ESXi 인증서

VMCA(기본값)

ESXi에 로컬로 저장됩니다.

시스템 SSL 인증서

VMCA(기본값)

VECS에 저장됩니다.

솔루션 사용자 인증서

VMCA(기본값)

VECS에 저장됩니다.

vCenter Single Sign-On SSL 서명 인증서

설치 도중 프로비저닝됩니다.

vSphere Web Client에서 이 인증서를 관리합니다.

경고:

파일 시스템에서 이 인증서를 변경하지 마십시오. 변경할 경우 예기치 않은 동작이 발생합니다.

VMDIR(VMware Directory Service) SSL 인증서

설치 도중 프로비저닝됩니다.

vSphere 6.5부터 시스템 SSL 인증서가 vmdir 인증서로 사용됩니다.

ESXi

ESXi 인증서는 각 호스트의 /etc/vmware/ssl 디렉토리에 로컬로 저장됩니다. ESXi 인증서는 기본적으로 VMCA에 의해 프로비저닝되지만 사용자 지정 인증서를 대신 사용할 수 있습니다. ESXi 인증서는 호스트가 처음 vCenter Server에 추가될 때와 호스트가 다시 연결될 때 프로비저닝됩니다.

시스템 SSL 인증서

각 노드의 시스템 SSL 인증서는 서버 측에서 SSL 소켓을 생성하는 데 사용됩니다. SSL 클라이언트는 SSL 소켓에 연결됩니다. 인증서는 서버 확인 및 HTTPS나 LDAPS와 같은 보안 통신에 사용됩니다.

노드마다 고유한 시스템 SSL 인증서가 있습니다. 노드에는 vCenter Server 인스턴스, Platform Services Controller 인스턴스 또는 내장된 배포 인스턴스가 포함됩니다. 노드에서 실행 중인 모든 서비스는 시스템 SSL 인증서를 사용하여 SSL 끝점을 표시합니다.

시스템 SSL 인증서를 사용하는 서비스는 다음과 같습니다.

  • Platform Services Controller 노드의 역방향 프록시 서비스. 개별 vCenter 서비스로의 SSL 연결은 항상 역방향 프록시로 이동합니다. 트래픽이 서비스 자체로 이동하지 않습니다.

  • 관리 노드 및 내장된 노드의 vCenter 서비스(vpxd).

  • 인프라 노드 및 내장된 노드의 vmdir(VMware Directory Service).

VMware 제품은 표준 X.509 버전 3(X.509v3) 인증서를 사용하여 세션 정보를 암호화합니다. 세션 정보는 SSL을 통해 구성 요소 간에 전송됩니다.

솔루션 사용자 인증서

솔루션 사용자는 하나 이상의 vCenter Server 서비스를 캡슐화합니다. 각 솔루션 사용자는 vCenter Single Sign-On에 인증되어야 합니다. 솔루션 사용자는 인증서를 사용하여 SAML 토큰 교환을 통해 vCenter Single Sign-On에 인증됩니다.

솔루션 사용자는 처음 인증해야 할 때, 재부팅 후, 시간 제한 경과 후에 vCenter Single Sign-On에 인증서를 제출해야 합니다. 시간 초과(키 소유자 시간 초과)는 vSphere Web Client 또는 Platform Services Controller 웹 인터페이스에서 설정할 수 있으며 기본값은 2592000초(30일)입니다.

예를 들어 vpxd 솔루션 사용자는 vCenter Single Sign-On에 연결할 때 vCenter Single Sign-On에 인증서를 제공합니다. 그러면 vpxd 솔루션 사용자는 vCenter Single Sign-On으로부터 SAML 토큰을 받고 이 토큰을 사용하여 다른 솔루션 사용자 및 서비스에 인증할 수 있습니다.

각 관리 노드 및 각 내장된 배포의 VECS에 다음의 솔루션 사용자 인증서 저장소가 포함되어 있습니다.

  • machine: 구성 요소 관리자, 라이센스 서버 및 로깅 서비스에서 사용됩니다.

    참고:

    이 시스템 솔루션 사용자 인증서는 시스템 SSL 인증서와 아무 관련이 없습니다. 이 시스템 솔루션 사용자 인증서는 SAML 토큰 교환에 사용되며 시스템 SSL 인증서는 시스템에 대한 보안 SSL 연결에 사용됩니다.

  • vpxd: 관리 노드 및 내장된 배포의 vCenter 서비스 데몬(vpxd) 저장소입니다. vpxd는 이 저장소에 저장된 솔루션 사용자 인증서를 사용하여 vCenter Single Sign-On에 인증합니다.

  • vpxd-extensions: vCenter 확장 저장소입니다. Auto Deploy 서비스, Inventory Service를 비롯해 다른 솔루션 사용자의 일부가 아닌 기타 서비스가 포함됩니다.

  • vsphere-webclient: vSphere Web Client 저장소입니다. 성능 차트 서비스와 같은 일부 추가 서비스도 포함됩니다.

Platform Services Controller 노드에는 machine 인증서가 포함되어 있습니다.

내부 인증서

vCenter Single Sign-On 인증서는 VECS에 저장되지 않으며 인증서 관리 도구로 관리되지 않습니다. 원칙적으로 변경이 불필요하지만 특별한 경우 이 인증서를 교체할 수 있습니다.

vCenter Single Sign-On 서명 인증서

vCenter Single Sign-On 서비스에는 vSphere를 통한 인증에 사용되는 SAML 토큰을 발급하는 ID 제공자 서비스가 포함됩니다. SAML 토큰은 사용자의 ID를 나타내며 그룹 멤버 자격 정보도 포함합니다. vCenter Single Sign-On이 SAML 토큰을 발급하는 경우 서명 인증서로 각 토큰에 서명하므로 vCenter Single Sign-On의 클라이언트가 SAML 토큰이 신뢰할 수 있는 소스로부터 전송되었는지 확인할 수 있습니다.

vCenter Single Sign-On은 솔루션 사용자에게는 키 소유자 SAML 토큰을 발급하고 사용자 이름과 암호로 로그인하는 다른 사용자에게는 보유자 토큰을 발급합니다.

vSphere Web Client에서 이 인증서를 교체할 수 있습니다. 보안 토큰 서비스 인증서 새로 고침를 참조하십시오.

VMware 디렉토리 서비스 SSL 인증서

vSphere 6.5부터 시스템 SSL 인증서가 VMware 디렉토리 인증서로 사용됩니다. 이전 버전의 vSphere는 해당 설명서를 참조하십시오.

vSphere 가상 시스템 암호화 인증서

vSphere 가상 시스템 암호화 솔루션은 외부 KMS(키 관리 서버)에 연결합니다. 솔루션이 KMS에서 어떻게 인증되는지에 따라 인증서가 생성되어 VECS에 저장될 수 있습니다. vSphere 보안 설명서를 참조하십시오.