시스템 SSL 인증서를 교체한 후에는 VMCA 서명 솔루션 사용자 인증서를 타사 또는 엔터프라이즈 인증서로 교체할 수 있습니다.

이 태스크 정보

대부분의 VMware 고객은 솔루션 사용자 인증서를 교체하지 않고 시스템 SSL 인증서만 사용자 지정 인증서로 교체합니다. 이러한 하이브리드 방식은 사용자의 보안 팀 요구 사항을 충족합니다.

  • 인증서는 프록시 뒤에 있는 인증서이거나, 사용자 지정 인증서입니다.

  • 중간 CA는 사용되지 않습니다.

솔루션 사용자는 vCenter Single Sign-On에 인증할 때만 인증서를 사용합니다. 인증서가 유효하면 vCenter Single Sign-On이 SAML 토큰을 솔루션 사용자에게 할당하며 솔루션 사용자는 SAML 토큰을 사용하여 다른 vCenter 구성 요소에 인증합니다.

각 관리 노드 및 각 Platform Services Controller 노드에서 시스템 솔루션 사용자 인증서를 교체합니다. 다른 솔루션 사용자 인증서는 각 관리 노드에서만 교체합니다. 외부 Platform Services Controller를 사용하는 관리 노드에서 명령을 실행할 때는 --server 매개 변수를 사용하여 Platform Services Controller를 가리킵니다.

참고:

대규모 배포의 솔루션 사용자 인증서를 나열할 경우 dir-cli list의 출력에는 모든 노드의 모든 솔루션 사용자가 포함됩니다. 각 호스트의 로컬 시스템 ID를 찾으려면 vmafd-cli get-machine-id --server-name localhost를 실행하십시오. 각 솔루션 사용자 이름에 시스템 ID가 포함되어 있습니다.

필수 조건

  • 키 크기: 2048비트 이상(PEM 인코딩)

  • CRT 형식

  • x509 버전 3

  • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.

  • 각 솔루션 사용자 인증서마다 Subject가 서로 달라야 합니다. 예를 들어 솔루션 사용자 이름(예: vpxd) 또는 다른 고유한 ID를 포함하는 것을 고려하십시오.

  • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 부인 방지, 키 암호화

프로시저

  1. 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmca
    
  2. 각 솔루션 사용자의 이름을 찾습니다.
    dir-cli service list 
    

    인증서를 교체할 때 반환된 고유 ID를 사용할 수 있습니다. 입력 및 출력이 다음과 같을 수 있습니다.

    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
    Enter password for administrator@vsphere.local:
    1. machine-1d364500-4b45-11e4-96c2-020011c98db3
    2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
    3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
    4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3

    다중 노드 배포의 솔루션 사용자 인증서를 나열할 경우 dir-cli 의 출력에는 모든 노드의 모든 솔루션 사용자가 포함됩니다. 각 호스트의 로컬 시스템 ID를 찾으려면 vmafd-cli get-machine-id --server-name localhost를 실행하십시오. 각 솔루션 사용자 이름에 시스템 ID가 포함되어 있습니다.

  3. 각 솔루션 사용자에 대해 VECS 및 vmdir에서 차례로 기존 인증서를 교체합니다.

    이 순서로 인증서를 추가해야 합니다.

    vecs-cli entry delete --store vpxd --alias vpxd
    vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    dir-cli service update --name <vpxd-xxxx-xxx-xxxxxx> --cert vpxd.crt
    
    참고:

    vmdir에서 인증서를 교체하지 않으면 솔루션 사용자가 vCenter Single Sign-On에 인증할 수 없습니다.

  4. 모든 서비스를 다시 시작합니다.
    service-control --start --all