vSphere Certificate Manager를 사용하여 CSR(인증서 서명 요청)을 생성할 수 있습니다. 서명을 위해 이러한 CSR을 엔터프라이즈 CA 또는 외부 CA(인증 기관)에 제출합니다. 지원되는 다른 인증서 교체 프로세스를 통해 서명된 인증서를 사용할 수 있습니다.

이 태스크 정보

  • vSphere Certificate Manager를 사용하여 CSR을 생성할 수 있습니다.

  • CSR을 수동으로 생성하려는 경우에는 서명을 위해 보내는 인증서가 다음 요구 사항을 충족해야 합니다.

    • 키 크기: 2048비트 이상

    • PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.

    • x509 버전 3

    • 사용자 지정 인증서를 사용하는 경우 CA 확장을 루트 인증서에 대해 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다.

    • CRL 서명을 사용하도록 설정해야 합니다.

    • 고급 키 사용에 클라이언트 인증 또는 서버 인증을 포함하면 안 됩니다.

    • 인증서 체인의 길이에 대한 명시적 제한이 없습니다. VMCA는 OpenSSL 기본값인 10개의 인증서를 사용합니다.

    • 와일드카드 또는 2개 이상의 DNS 이름이 있는 인증서는 지원되지 않습니다.

    • VMCA의 부수적인 CA를 생성할 수 없습니다.

      Microsoft CA(인증 기관)를 사용하는 예는 VMware 기술 자료 문서 2112009, Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0(vSphere 6.0에서 SSL 인증서 생성에 사용할 Microsoft CA(인증 기관) 템플릿 생성)을 참조하십시오.

필수 조건

vSphere Certificate Manager는 사용자에게 정보를 묻습니다. 묻는 정보는 해당 환경 및 사용자가 교체하려는 인증서의 유형에 따라 다릅니다.

CSR을 생성하는 경우 administrator@vsphere.local 사용자의 암호나 연결되어 있는 vCenter Single Sign-On 도메인 관리자의 암호를 묻습니다.

프로시저

  1. vSphere Certificate Manager를 시작하고 옵션 2를 선택합니다.

    처음에는 이 옵션을 인증서를 교체하지 않고 CSR을 생성하는 데 사용합니다.

  2. 메시지가 표시되면 암호 및 Platform Services Controller IP 주소 또는 호스트 이름을 제공합니다.
  3. 옵션 1을 선택하여 CSR을 생성하고 질문에 대답합니다.

    해당 프로세스의 일부로, 디렉토리를 제공해야 합니다. 인증서 관리자는 서명할 인증서(*.csr 파일)와 해당 키 파일(*.key 파일)을 디렉토리에 배치합니다.

  4. 서명을 위해 인증서를 엔터프라이즈 CA 또는 외부 CA에 보내고 파일의 이름을 root_signing_cert.cer로 지정합니다.
  5. 텍스트 편집기에서 인증서를 다음과 같이 결합합니다.
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  6. 파일을 root_signing_chain.cer로 저장합니다.

다음에 수행할 작업

기존 루트 인증서를 체인 루트 인증서로 교체합니다. 사용자 지정 서명 인증서로 VMCA 루트 인증서 교체 및 모든 인증서 교체를 참조하십시오.