기본적으로 Auto Deploy 서버는 VMCA에서 서명한 인증서로 각 호스트를 프로비저닝합니다. Auto Deploy 서버가 VMCA에서 서명하지 않은 사용자 지정 인증서로 모든 호스트를 프로비저닝하도록 설정할 수 있습니다. 이 시나리오에서 Auto Deploy 서버는 타사 CA의 하위 인증 기관이 됩니다.
사전 요구 사항
- CA에서 인증서를 요청합니다. 인증서는 다음 요구 사항을 충족해야 합니다.
- 키 크기: 2048비트 이상(PEM 인코딩)
- PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.
- x509 버전 3
- 루트 인증서의 경우 CA 확장을 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다.
- SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.
- CRT 형식
- 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 부인 방지, 키 암호화
- 현재 시간 하루 전 시작 시간
- ESXi 호스트가 vCenter Server 인벤토리에 가지고 있는 호스트 이름(또는 IP 주소)으로 설정된 CN (및 SubjectAltName).
- 인증서 및 키 파일을 rbd-ca.crt 및 rbd-ca.key로 명명합니다.
프로시저
- 기본 ESXi 인증서를 백업합니다.
인증서는
/etc/vmware-rbd/ssl/ 디렉토리에 있습니다.
- vSphere Web Client에서 Auto Deploy 서비스를 중지합니다.
- 관리를 선택하고 배포 아래에서 시스템 구성을 클릭합니다.
- 서비스를 클릭합니다.
- 중지할 서비스를 마우스 오른쪽 버튼으로 클릭하고 중지를 선택합니다.
- Auto Deploy 서비스가 실행되는 시스템에서 /etc/vmware-rbd/ssl/의 rbd-ca.crt 및 rbd-ca.key를 사용자 지정 인증서 및 키 파일로 교체합니다.
- Auto Deploy 서비스가 실행되는 시스템에서 다음 명령을 실행하여 새 인증서를 사용하도록 VECS 내부의 TRUSTED_ROOTS 저장소를 업데이트합니다.
| 옵션 |
설명 |
| Windows |
cd C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe
vecs-cli entry delete --store TRUSTED_ROOTS --alias rbd_cert
vecs-cli entry create --store TRUSTED_ROOTS --alias rbd_cert
--cert /etc/vmware-rbd/ssl/rbd-ca.crt |
| Linux |
cd /usr/lib/vmware-vmafd/bin/vecs-cli
vecs-cli entry delete --store TRUSTED_ROOTS --alias rbd_cert
vecs-cli entry create --store TRUSTED_ROOTS --alias rbd_cert
--cert /etc/vmware-rbd/ssl/rbd-ca.crt |
- TRUSTED_ROOTS 저장소의 컨텐츠가 포함된 castore.pem 파일을 생성하여 /etc/vmware-rbd/ssl/ 디렉토리에 배치합니다.
사용자 지정 모드에서는 사용자에게 이 파일을 관리할 책임이 있습니다.
- vCenter Server 시스템의 ESXi 인증서 모드를 사용자 지정으로 변경합니다.
- vCenter Server 서비스를 다시 시작하고 Auto Deploy 서비스를 시작합니다.
결과
다음 번에 Auto Deploy를 사용하도록 설정된 호스트를 프로비저닝하면 Auto Deploy 서버에서 인증서를 생성합니다. TRUSTED_ROOTS 저장소에 방금 추가한 루트 인증서가 Auto Deploy 서버에서 사용됩니다.
