시스템 SSL 인증서를 교체한 후에는 모든 솔루션 사용자 인증서를 교체할 수 있습니다. 솔루션 사용자는 만료되지 않은 유효한 상태여야 하지만 인증서 인프라는 인증서의 다른 정보를 사용하지 않습니다.

대부분의 VMware 고객은 솔루션 사용자 인증서를 교체하지 않고 시스템 SSL 인증서만 사용자 지정 인증서로 교체합니다. 이러한 하이브리드 방식은 사용자의 보안 팀 요구 사항을 충족합니다.
  • 인증서는 프록시 뒤에 있는 인증서이거나, 사용자 지정 인증서입니다.
  • 중간 CA는 사용되지 않습니다.

각 관리 노드 및 각 Platform Services Controller 노드에서 시스템 솔루션 사용자 인증서를 교체합니다. 다른 솔루션 사용자 인증서는 각 관리 노드에서만 교체합니다. 외부 Platform Services Controller를 사용하는 관리 노드에서 명령을 실행할 때는 --server 매개 변수를 사용하여 Platform Services Controller를 가리킵니다.

참고: 대규모 배포의 솔루션 사용자 인증서를 나열할 경우 dir-cli list의 출력에는 모든 노드의 모든 솔루션 사용자가 포함됩니다. 각 호스트의 로컬 시스템 ID를 찾으려면 vmafd-cli get-machine-id --server-name localhost를 실행하십시오. 각 솔루션 사용자 이름에 시스템 ID가 포함되어 있습니다.

사전 요구 사항

모든 서비스를 중지하고 인증서 전파 및 저장을 처리하는 서비스를 시작할 준비를 마칩니다.

프로시저

  1. certool.cfg 사본을 하나 만든 다음 이름, IP 주소, DNS 이름, 이메일 필드를 제거하고 파일의 이름을 변경합니다(예: sol_usr.cfg).
    생성 과정의 일부로 명령줄에서 인증서의 이름을 지정할 수 있습니다. 기타 정보는 솔루션 사용자에게 필요하지 않습니다. 기본 정보를 그대로 두면 생성된 인증서가 혼란을 줄 수 있습니다.
  2. 공개/개인 키 파일 쌍과 각 솔루션 사용자에 대한 인증서를 생성하고 직전에 사용자 지정한 구성 파일을 사용하여 전달합니다.
    예: 
    certool --genkey --privkey=vpxd.priv --pubkey=vpxd.pub 
certool --gencert --privkey=vpxd.priv --cert vpxd.crt --Name=VPXD_1 --config sol_usr.cfg
  3. 각 솔루션 사용자의 이름을 찾습니다. 
    dir-cli service list
    인증서를 교체할 때 반환된 고유 ID를 사용할 수 있습니다. 입력 및 출력이 다음과 같을 수 있습니다. 
    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
Enter password for [email protected]:
1. machine-1d364500-4b45-11e4-96c2-020011c98db3
2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3
    다중 노드 배포의 솔루션 사용자 인증서를 나열할 경우 dir-cli 의 출력에는 모든 노드의 모든 솔루션 사용자가 포함됩니다. 각 호스트의 로컬 시스템 ID를 찾으려면 vmafd-cli get-machine-id --server-name localhost를 실행하십시오. 각 솔루션 사용자 이름에 시스템 ID가 포함되어 있습니다.
  4. 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.
    서비스 이름은 Windows와 vCenter Server Appliance에서 서로 다릅니다.
    참고: 환경에서 외부 Platform Services Controller를 사용하는 경우 vCenter Server 노드에서 VMware Directory Service(vmdird) 및 VMware Certificate Authority(vmcad)를 중지하고 시작할 필요가 없습니다. Platform Services Controller에서 이러한 서비스가 실행됩니다.
    Windows 
    service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
    vCenter Server Appliance 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  5. 각 솔루션 사용자에 대해 vmdir 및 VECS에서 차례로 기존 인증서를 교체합니다.
    다음 예는 vpxd 서비스에 대한 인증서를 교체하는 방법을 보여 줍니다. 
    dir-cli service update --name <vpxd-xxxx-xxx-7c7b769cd9f4> --cert ./vpxd.crt
vecs-cli entry delete --store vpxd --alias vpxd
vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    참고: vmdir에서 인증서를 교체하지 않으면 솔루션 사용자가 vCenter Single Sign-On에 인증할 수 없습니다.
  6. 모든 서비스를 다시 시작합니다. 
    service-control --start --all

예: VMCA 서명 솔루션 사용자 인증서 사용

  1. 각 솔루션 사용자에 대한 공개/개인 키 쌍을 생성합니다. 여기에는 각 Platform Services Controller과 각 관리 노드의 시스템 솔루션 사용자용 쌍과 각 관리 노드의 각 추가 솔루션 사용자(vpxd, vpxd-extension, vsphere-webclient)용 쌍이 포함됩니다.
    1. 내장된 배포의 시스템 솔루션 사용자 또는 Platform Services Controller의 시스템 솔루션 사용자를 위한 키 쌍을 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
    2. (선택 사항) 외부 Platform Services Controller가 있는 배포의 경우 각 관리 노드에서 시스템 솔루션 사용자를 위한 키 쌍을 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
    3. 각 관리 노드에서 vpxd 솔루션 사용자를 위한 키 쌍을 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vpxd-key.priv --pubkey=vpxd-key.pub
    4. 각 관리 노드에서 vpxd-extension 솔루션 사용자를 위한 키 쌍을 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vpxd-extension-key.priv --pubkey=vpxd-extension-key.pub
    5. 각 관리 노드에서 vsphere-webclient 솔루션 사용자를 위한 키 쌍을 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vsphere-webclient-key.priv --pubkey=vsphere-webclient-key.pub
  2. Platform Services Controller 및 각 관리 노드의 시스템 솔루션 사용자 그리고 각 관리 노드의 추가적인 각 솔루션 사용자(vpxd, vpxd-extension, vsphere-webclient)에 대해 새 VMCA 루트 인증서로 서명된 솔루션 사용자 인증서를 생성합니다.
    참고: --Name 매개 변수는 고유해야 합니다. 솔루션 사용자 저장소의 이름을 포함하면 각 인증서가 어느 솔루션 사용자에게 매핑되는지 쉽게 확인할 수 있습니다. 이 예제에서는 각각에 vpxd 또는 vpxd-extension 같은 이름이 포함됩니다.
    1. Platform Services Controller 노드에서 다음 명령을 실행하여 해당 노드의 시스템 솔루션 사용자에 대한 솔루션 사용자 인증서를 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine
    2. 각 관리 노드에서 시스템 솔루션 사용자용 인증서를 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine --server=<psc-ip-or-fqdn>
    3. 각 관리 노드에서 vpxd 솔루션 사용자용 인증서를 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vpxd.crt --privkey=vpxd-key.priv --Name=vpxd --server=<psc-ip-or-fqdn>
    4. 각 관리 노드에서 vpxd-extensions 솔루션 사용자용 인증서를 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vpxd-extension.crt --privkey=vpxd-extension-key.priv --Name=vpxd-extension --server=<psc-ip-or-fqdn>
    5. 다음 명령을 실행하여 각 관리 노드에서 vsphere-webclient 솔루션 사용자용 인증서를 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vsphere-webclient.crt --privkey=vsphere-webclient-key.priv --Name=vsphere-webclient --server=<psc-ip-or-fqdn>
  3. VECS의 솔루션 사용자 인증서를 새 솔루션 사용자 인증서로 교체합니다.
    참고: --store--alias 매개 변수는 서비스의 기본 이름과 정확하게 일치해야 합니다.
    1. Platform Services Controller 노드에서 다음 명령을 실행하여 시스템 솔루션 사용자 인증서를 교체합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store machine --alias machine
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store machine --alias machine --cert new-machine.crt --key machine-key.priv
    2. 각 관리 노드에서 시스템 솔루션 사용자 인증서를 교체합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store machine --alias machine
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store machine --alias machine --cert new-machine-vc.crt --key machine-vc-key.priv
    3. 각 관리 노드에서 vpxd 솔루션 사용자 인증서를 교체합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vpxd --alias vpxd
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vpxd --alias vpxd --cert new-vpxd.crt --key vpxd-key.priv
    4. 각 관리 노드에서 vpxd-extension 솔루션 사용자 인증서를 교체합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vpxd-extension --alias vpxd-extension
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vpxd-extension --alias vpxd-extension --cert new-vpxd-extension.crt --key vpxd-extension-key.priv
    5. 각 관리 노드에서 vsphere-webclient 솔루션 사용자 인증서를 교체합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vsphere-webclient --alias vsphere-webclient
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vsphere-webclient --alias vsphere-webclient --cert new-vsphere-webclient.crt --key vsphere-webclient-key.priv
  4. VMware 디렉토리 서비스(vmdir)를 새 솔루션 사용자 인증서로 업데이트합니다. vCenter Single Sign-On 관리자 암호를 묻는 메시지가 나타납니다.
    1. dir-cli service list를 실행하여 각 솔루션 사용자에 대한 고유한 서비스 ID 접미사를 가져옵니다. 이 명령은 Platform Services Controller 또는 vCenter Server 시스템에서 실행할 수 있습니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli>dir-cli service list
output:
1. machine-29a45d00-60a7-11e4-96ff-00505689639a
2. machine-6fd7f140-60a9-11e4-9e28-005056895a69
3. vpxd-6fd7f140-60a9-11e4-9e28-005056895a69
4. vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69
5. vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69
      참고: 대규모 배포의 솔루션 사용자 인증서를 나열할 경우 dir-cli list의 출력에는 모든 노드의 모든 솔루션 사용자가 포함됩니다. 각 호스트의 로컬 시스템 ID를 찾으려면 vmafd-cli get-machine-id --server-name localhost를 실행하십시오. 각 솔루션 사용자 이름에 시스템 ID가 포함되어 있습니다.
    2. Platform Services Controller에서 vmdir의 시스템 인증서를 교체합니다. 예를 들어 machine-29a45d00-60a7-11e4-96ff-00505689639a가 Platform Services Controller의 시스템 솔루션 사용자인 경우 다음 명령을 실행하십시오. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name machine-29a45d00-60a7-11e4-96ff-00505689639a --cert new-machine-1.crt
    3. 각 관리 노드에서 vmdir의 시스템 인증서를 교체합니다. 예를 들어 machine-6fd7f140-60a9-11e4-9e28-005056895a69가 vCenter Server의 시스템 솔루션 사용자인 경우 이 명령을 실행하십시오. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name machine-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-machine-2.crt
    4. 각 관리 노드에서 vmdir의 vpxd 솔루션 사용자 인증서를 교체합니다. 예를 들어 vpxd-6fd7f140-60a9-11e4-9e28-005056895a69가 vpxd 솔루션 사용자 ID인 경우 이 명령을 실행하십시오. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd.crt
    5. 각 관리 노드에서 vmdir의 vpxd-extension 솔루션 사용자 인증서를 교체합니다. 예를 들어 vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69가 vpxd-extension 솔루션 사용자 ID인 경우 이 명령을 실행하십시오. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd-extension.crt
    6. 각 관리 노드에서 vsphere-webclient 솔루션 사용자 인증서를 교체합니다. 예를 들어 vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69가 vsphere-webclient 솔루션 사용자 ID인 경우 이 명령을 실행하십시오. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vsphere-webclient.crt

다음에 수행할 작업

Platform Services Controller 노드 및 각 관리 노드에서 모든 서비스를 다시 시작합니다.