사용자 지정 인증서를 받은 후에는 각 시스템 인증서를 교체할 수 있습니다.

이 태스크 정보

각 시스템마다 다른 서비스와의 보안 통신을 위한 시스템 SSL 인증서가 있어야 합니다. 다중 노드 배포에서는 각 노드에서 시스템 SSL 인증서 생성 명령을 실행해야 합니다. --server 매개 변수를 사용하여 외부 Platform Services Controller가 포함된 vCenter Server에서 Platform Services Controller를 가리킵니다.

인증서 교체를 시작하기 전에 다음 정보를 준비해야 합니다.

  • administrator@vsphere.local의 암호

  • 유효한 시스템 SSL 사용자 지정 인증서(.crt 파일)

  • 유효한 시스템 SSL 사용자 지정 키(.key 파일)

  • 루트에 대한 유효한 사용자 지정 인증서(.crt 파일)

  • 다중 노드 배포 환경에서 외부 Platform Services Controller가 포함된 vCenter Server에 대해 명령을 실행하는 경우 Platform Services Controller의 IP 주소

필수 조건

타사 또는 엔터프라이즈 CA로부터 각 시스템에 대한 인증서를 받은 상태여야 합니다.

  • 키 크기: 2048비트 이상(PEM 인코딩)

  • CRT 형식

  • x509 버전 3

  • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.

  • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 부인 방지, 키 암호화

프로시저

  1. 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.

    서비스 이름은 Windows와 vCenter Server Appliance에서 서로 다릅니다.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  2. 각 노드에 로그인하여 CA에서 받은 새 시스템 인증서를 VECS에 추가합니다.

    모든 시스템은 SSL을 통해 통신하려면 로컬 인증서 저장소에 새 인증서가 필요합니다.

    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
    --key <key-file-path>
  3. 모든 서비스를 다시 시작합니다.
    service-control --start --all
    

시스템 SSL 인증서를 사용자 지정 인증서로 교체

같은 방법으로 각 노드에서 시스템 SSL 인증서를 교체할 수 있습니다.

  1. 먼저 VECS에서 기존 인증서를 삭제합니다.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
  2. 그런 다음 교체 인증서를 추가합니다.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv