엔터프라이즈 또는 타사 CA의 사용자 지정 인증서를 사용할 수 있습니다. 첫 번째 단계는 CA의 인증서를 요청하고 루트 인증서를 VECS로 가져오는 것입니다.

사전 요구 사항

인증서는 다음 요구 사항을 충족해야 합니다.

  • 키 크기: 2048비트 이상(PEM 인코딩)
  • PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.
  • x509 버전 3
  • 루트 인증서의 경우 CA 확장을 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다.
  • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.
  • CRT 형식
  • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화
  • 현재 시간 하루 전 시작 시간
  • ESXi 호스트가 vCenter Server 인벤토리에 가지고 있는 호스트 이름(또는 IP 주소)으로 설정된 CN (및 SubjectAltName).

프로시저

  1. 다음 인증서에 대한 CSR을 엔터프라이즈 또는 타사 인증서 제공자에 보냅니다.
    • 각 시스템에 대한 시스템 SSL 인증서. 시스템 SSL 인증서의 경우 SubjectAltName 필드에는 정규화된 도메인 이름(DNS NAME=machine_FQDN)이 포함되어야 합니다.
    • 원하는 경우, 각 내장된 시스템 또는 관리 노드에 대한 네 개의 솔루션 사용자 인증서. 솔루션 사용자 인증서에는 IP 주소, 호스트 이름 또는 이메일 주소가 포함되지 않아야 합니다. 각 인증서의 인증서 주체가 서로 달라야 합니다.
    • 원하는 경우, 외부 Platform Services Controller 인스턴스에 대한 시스템 솔루션 사용자 인증서. 이 인증서는 Platform Services Controller에 대한 시스템 SSL 인증서와 다릅니다.

    일반적으로 신뢰할 수 있는 체인에 대한 PEM 파일과 각 Platform Services Controller 또는 관리 노드에 대한 서명된 SSL 인증서가 결과로 반환됩니다.

  2. TRUSTED_ROOTS 및 시스템 SSL 저장소를 나열합니다.
    vecs-cli store list 
    
    1. 현재 루트 인증서 및 모든 시스템 SSL 인증서가 VMCA에 의해 서명되었는지 확인합니다.
    2. 일련 번호, 발급자 및 주체 CN 필드를 기록해 둡니다.
    3. (선택 사항) 웹 브라우저를 사용하여 인증서를 교체할 노드에 대한 HTTPS 연결을 열고 인증서 정보를 확인하여 시스템 SSL 인증서와 일치하는지 확인합니다.
  3. 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.
    서비스 이름은 Windows와 vCenter Server Appliance에서 서로 다릅니다.
    참고: 환경에서 외부 Platform Services Controller를 사용하는 경우 vCenter Server 노드에서 VMware Directory Service(vmdird) 및 VMware Certificate Authority(vmcad)를 중지하고 시작할 필요가 없습니다. Platform Services Controller에서 이러한 서비스가 실행됩니다.
    Windows
    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    
    vCenter Server Appliance
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. 사용자 지정 루트 인증서를 게시합니다.
    dir-cli trustedcert publish --cert <my_custom_root>
    명령줄에서 사용자 이름과 암호를 지정하지 않으면 이를 묻는 메시지가 나타납니다.
  5. 모든 서비스를 다시 시작합니다.
    service-control --start --all
    

다음에 수행할 작업

회사 정책에 따라 필요한 경우 원래 VMCA 루트 인증서를 인증서 저장소에서 제거할 수 있습니다. 그렇게 하는 경우 vCenter Single Sign-On 인증서를 새로 고쳐야 합니다. 보안 토큰 서비스 인증서 새로 고침의 내용을 참조하십시오.