인증서 인프라를 설정하거나 업데이트하는 데 필요한 작업은 환경의 요구 사항, 새로 설치하는지 아니면 업그레이드하는지, 그리고 ESXi 또는 vCenter Server 중 무엇을 고려하고 있는지에 따라 달라집니다.

VMware 인증서를 교체하지 않는 관리자

VMCA는 모든 인증서 관리 작업을 처리할 수 있습니다. VMCA는 VMCA를 루트 인증 기관으로 사용하는 인증서로 vCenter Server 구성 요소와 ESXi 호스트를 프로비저닝합니다. 이전 버전의 vSphere에서 vSphere 6로 업그레이드 중인 경우에는 자체 서명된 모든 인증서가 VMCA에 의해 서명된 인증서로 교체됩니다.

VMware 인증서를 현재 교체하지 않으면 사용자 환경에서는 자체 서명된 인증서 대신 VMCA 서명 인증서를 사용하기 시작합니다.

VMware 인증서를 사용자 지정 인증서로 교체하는 관리자

회사 정책에 따라 타사 또는 엔터프라이즈 CA에서 서명하거나, 사용자 지정 인증서 정보가 필요한 인증서를 사용해야 하는 경우에는 몇 가지 방법으로 새로 설치할 수 있습니다.

  • 타사 CA 또는 엔터프라이즈 CA에서 VMCA 루트 인증서에 서명하도록 합니다. 이 서명된 인증서로 VMCA 루트 인증서를 교체합니다. 이 시나리오에서는 VMCA 인증서가 중간 인증서입니다. VMCA는 전체 인증서 체인이 포함된 인증서로 vCenter Server 구성 요소와 ESXi 호스트를 프로비저닝합니다.

  • 회사 정책에 따라 체인에 중간 인증서가 허용되지 않는 경우에는 인증서를 명시적으로 교체할 수 있습니다. Platform Services Controller 웹 인터페이스 또는 vSphere Certificate Manager 유틸리티를 사용하거나 인증서 관리 CLI를 사용하여 수동 인증서 교체를 수행할 수 있습니다.

사용자 지정 인증서를 사용하는 환경을 업그레이드할 때는 일부 인증서를 유지할 수 있습니다.

  • ESXi 호스트는 업그레이드 중 자체 사용자 지정 인증서를 유지합니다. vCenter Server 업그레이드 프로세스에서 모든 관련 루트 인증서를 vCenter Server에서 VECS의 TRUSTED_ROOTS 저장소에 추가해야 합니다.

    vSphere 6.0 이상으로 업그레이드한 후 인증서 모드를 사용자 지정으로 설정할 수 있습니다. 인증서 모드가 기본값인 VMCA일 때 사용자가 vSphere Web Client에서 인증서 새로 고침을 수행하면 VMCA 서명 인증서가 사용자 지정 인증서를 교체합니다.

  • vCenter Server 구성 요소의 경우 수행되는 작업은 기존 환경에 따라 달라집니다.

    • 단순 설치를 내장된 배포로 업그레이드할 경우 vCenter Server에서는 사용자 지정 인증서를 보존합니다. 업그레이드 후 환경은 이전처럼 작동합니다.

    • 다중 사이트 배포를 업그레이드하는 경우에는 vCenter Single Sign-On의 위치는 다른 vCenter Server 구성 요소가 있는 시스템과 다를 수 있습니다. 이 경우, 업그레이드 프로세스는 Platform Services Controller 노드와 하나 이상의 관리 노드가 포함되어 있는 다중 노드 배포를 생성합니다.

      이 시나리오에서는 기존 vCenter ServervCenter Single Sign-On 인증서가 보존됩니다. 인증서는 시스템 SSL 인증서로 사용됩니다.

      또한 VMCA는 VMCA 서명 인증서를 각 솔루션 사용자(vCenter 서비스 모음)에게 할당합니다. 솔루션 사용자는 이 인증서를 vCenter Single Sign-On에 인증하는 데만 사용합니다. 회사 정책에 따라 솔루션 사용자 인증서 교체가 요구되는 경우는 많지 않습니다.

    vSphere 5.5 설치에 사용 가능했던 vSphere 5.5 인증서 교체 도구는 더 이상 사용할 수 없습니다. 새로운 아키텍처로 인해 서비스 배포와 교체가 달라졌습니다. 대부분의 인증서 관리 작업에 새로운 명령줄 유틸리티인 vSphere Certificate Manager를 사용할 수 있습니다.

vSphere 인증서 인터페이스

vCenter Server의 경우 다음의 도구 및 인터페이스를 사용하여 인증서를 보고 교체할 수 있습니다.

표 1. vCenter Server 인증서 관리를 위한 인터페이스

인터페이스

사용

Platform Services Controller 웹 인터페이스

그래픽 사용자 인터페이스를 사용하여 일반적인 인증서 작업을 수행합니다.

vSphere Certificate Manager 유틸리티

vCenter Server 설치의 명령줄에서 일반적인 인증서 교체 작업을 수행합니다.

인증서 관리 CLI

dir-cli, certoolvecs-cli를 사용하여 모든 인증서 관리 작업을 수행합니다.

vSphere Web Client

만료 정로를 포함하여 인증서를 봅니다.

ESXi의 경우 vSphere Web Client에서 인증서 관리를 수행합니다. VMCA가 인증서를 프로비저닝하고 ESXi 호스트에 로컬로 저장합니다. VMCA는 ESXi 호스트 인증서를 VMDIR 또는 VECS에 저장하지 않습니다. vSphere 보안 설명서를 참조하십시오.

지원되는 vCenter 인증서

vCenter Server, Platform Services Controller, 관련 시스템 및 서비스의 경우 다음 인증서가 지원됩니다.

  • VMCA(VMware Certificate Authority)에서 생성하고 서명한 인증서.

  • 사용자 지정 인증서.

    • 자체 내부 PKI에서 생성된 엔터프라이즈 인증서.

    • Verisign, GoDaddy 등과 같은 외부 PKI가 생성한 타사 CA 서명 인증서.

루트 CA 없이 OpenSSL을 사용하여 생성된 자체 서명 인증서는 지원되지 않습니다.