새 VMCA 서명 루트 인증서 생성

certool CLI 또는 vSphere Certificate Manager 유틸리티를 사용하여 VMCA 서명된 인증서를 새로 생성한 후 vmdir에 게시합니다.

다중 노드 배포에서는 Platform Services Controller에서 루트 인증서 생성 명령을 실행합니다.

프로시저

새 자체 서명 인증서 및 개인 키를 생성합니다.

certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>

기존 루트 인증서를 새 인증서로 교체합니다.
```
certool --rootca --cert <cert_file_path> --privkey <key_file_path>
```
명령은 인증서를 생성하여 vmdir에 추가하고 VECS에 추가합니다.
모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.
서비스 이름은 Windows와 vCenter Server Appliance에서 서로 다릅니다.
참고: 환경에서 외부 Platform Services Controller를 사용하는 경우 vCenter Server 노드에서 VMware Directory Service(vmdird) 및 VMware Certificate Authority(vmcad)를 중지하고 시작할 필요가 없습니다. Platform Services Controller에서 이러한 서비스가 실행됩니다.
Windows
```
service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
```
vCenter Server Appliance
```
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
```
(선택 사항) 새 루트 인증서를 vmdir에 게시합니다.
```
dir-cli trustedcert publish --cert newRoot.crt
```
명령은 vmdir의 모든 인스턴스를 즉시 업데이트합니다. 명령을 실행하지 않으면 새 인증서를 모든 노드에 전파하는 데 상당한 시간이 소요될 수 있습니다.
모든 서비스를 다시 시작합니다.
```
service-control --start --all
```

다음 예에서는 현재 루트 CA 정보를 확인하고 루트 인증서를 다시 생성하는 전체 단계를 보여 줍니다.

(선택 사항) VMCA 루트 인증서를 나열하여 인증서 저장소에 있는지 확인합니다.

Platform Services Controller 노드 또는 포함된 설치의 경우:

C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca

관리 노드의 경우(외부 설치):

C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>

출력은 다음과 비슷합니다.

output:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
    ...

(선택 사항) VECS TRUSTED_ROOTS 저장소를 나열하고 여기의 인증서 일련 번호를 1단계의 출력과 비교합니다.
VECS가 vmdir을 폴링하므로 이 명령은 Platform Services Controller 노드와 관리 노드 모두에서 작동합니다.
```
"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
```
루트 인증서가 하나만 있는 가장 간단한 경우 출력은 다음과 비슷합니다.
```
Number of entries in store :    1
Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
Entry type :    Trusted Cert
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
```
새 VMCA 루트 인증서를 생성합니다. 명령은 인증서를 VECS 및 vmdir(VMware Directory Service)의 TRUSTED_ROOTS 저장소에 추가합니다.
```
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"
```
Windows에서는 명령이 기본 certool.cfg 파일을 사용하므로 --config는 선택 사항입니다.