사용자 지정 인증서를 받은 후에는 각 시스템 인증서를 교체할 수 있습니다.

각 시스템마다 다른 서비스와의 보안 통신을 위한 시스템 SSL 인증서가 있어야 합니다. 다중 노드 배포에서는 각 노드에서 시스템 SSL 인증서 생성 명령을 실행해야 합니다. --server 매개 변수를 사용하여 외부 Platform Services Controller가 포함된 vCenter Server에서 Platform Services Controller를 가리킵니다.

인증서 교체를 시작하기 전에 다음 정보를 준비해야 합니다.
  • [email protected]의 암호
  • 유효한 시스템 SSL 사용자 지정 인증서(.crt 파일)
  • 유효한 시스템 SSL 사용자 지정 키(.key 파일)
  • 루트에 대한 유효한 사용자 지정 인증서(.crt 파일)
  • 다중 노드 배포 환경에서 외부 Platform Services Controller가 포함된 vCenter Server에 대해 명령을 실행하는 경우 Platform Services Controller의 IP 주소

사전 요구 사항

타사 또는 엔터프라이즈 CA로부터 각 시스템에 대한 인증서를 받은 상태여야 합니다.

  • 키 크기: 2048비트 이상(PEM 인코딩)
  • CRT 형식
  • x509 버전 3
  • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.
  • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화

프로시저

  1. 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.
    서비스 이름은 Windows와 vCenter Server Appliance에서 서로 다릅니다.
    참고: 환경에서 외부 Platform Services Controller를 사용하는 경우 vCenter Server 노드에서 VMware Directory Service(vmdird) 및 VMware Certificate Authority(vmcad)를 중지하고 시작할 필요가 없습니다. Platform Services Controller에서 이러한 서비스가 실행됩니다.
    Windows 
    service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
    vCenter Server Appliance 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  2. 각 노드에 로그인하여 CA에서 받은 새 시스템 인증서를 VECS에 추가합니다.
    모든 시스템은 SSL을 통해 통신하려면 로컬 인증서 저장소에 새 인증서가 필요합니다. 
    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>
  3. 모든 서비스를 다시 시작합니다. 
    service-control --start --all

예: 시스템 SSL 인증서를 사용자 지정 인증서로 교체

이 예에서는 Windows 설치에서 시스템 SSL 인증서를 사용자 지정 인증서로 교체하는 방법을 보여 줍니다. 같은 방법으로 각 노드에서 시스템 SSL 인증서를 교체할 수 있습니다.
  1. 먼저 VECS에서 기존 인증서를 삭제합니다. 
    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
  2. 그런 다음 교체 인증서를 추가합니다. 
    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv