대부분의 회사에서는 외부에서 액세스할 수 있는 서비스의 인증서만 교체하면 됩니다. 하지만 Certificate Manager는 솔루션 사용자 인증서를 교체하는 기능도 지원합니다. 솔루션 사용자는 서비스의 모음(예: vSphere Client와 연결된 모든 서비스)입니다. 다중 노드 배포에서는 Platform Services Controller에 있는 시스템 솔루션 사용자 인증서 및 각 관리 노드에 있는 솔루션 사용자 전체 집합을 교체합니다.
솔루션 사용자 인증서를 제공하라는 메시지가 표시되면 타사 CA의 전체 서명 인증서 체인을 제공합니다.
형식은 다음과 비슷해야 합니다.
-----BEGIN CERTIFICATE----- Signing certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- CA intermediate certificates -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Root certificate of enterprise or external CA -----END CERTIFICATE-----
사전 요구 사항
시작하기 전에 사용자 환경의 각 시스템에 대한 CSR이 필요합니다. vSphere Certificate Manager를 사용하거나 명시적으로 CSR을 생성할 수 있습니다.
- vSphere Certificate Manager를 사용하여 CSR을 생성하려면 vSphere Certificate Manager를 사용하여 인증서 서명 요청 생성(사용자 지정 인증서)을 참조하십시오.
- 타사 또는 엔터프라이즈 CA에서 각 노드의 솔루션 사용자별로 인증서를 요청합니다. vSphere Certificate Manager를 사용하여 CSR을 생성하거나 직접 준비할 수 있습니다. CSR은 다음 요구 사항을 충족해야 합니다.
- 키 크기: 2048비트 이상(PEM 인코딩)
- CRT 형식
- x509 버전 3
- SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.
각 솔루션 사용자 인증서마다 Subject가 서로 달라야 합니다. 예를 들어 솔루션 사용자 이름(예: vpxd) 또는 다른 고유한 ID를 포함하는 것을 고려하십시오.
- 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화
VMware 기술 자료 문서(http://kb.vmware.com/kb/2112014)인 'Microsoft CA(인증 기관)에서 vSphere 인증서 받기'를 참조하십시오.
프로시저
다음에 수행할 작업
vSphere 5.x 환경에서 업그레이드하는 경우 vmdir 내에서 vCenter Single Sign-On 인증서를 교체해야 할 수 있습니다. 혼합 모드 환경에서 VMware 디렉토리 서비스 인증서 교체의 내용을 참조하십시오.