VMCA 인증서를 사용자 지정 인증서로 교체하는 첫 번째 단계는 CSR을 생성하고, 서명할 CSR을 보내고, 서명된 인증서를 VMCA에 루트 인증서로 추가하는 것입니다.

Certificate Manager 유틸리티 또는 기타 도구를 사용하여 CSR을 생성할 수 있습니다. CSR은 다음 요구 사항을 충족해야 합니다.
  • 키 크기: 2048비트 이상
  • PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 해당 키가 PKCS8로 변환됩니다.
  • x509 버전 3
  • 사용자 지정 인증서를 사용하는 경우 CA 확장을 루트 인증서에 대해 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다.
  • CRL 서명을 사용하도록 설정해야 합니다.
  • 고급 키 사용은 비워 두거나 서버 인증을 포함할 수 있습니다.
  • 인증서 체인의 길이에 대한 명시적 제한이 없습니다. VMCA는 OpenSSL 기본값인 10개의 인증서를 사용합니다.
  • 와일드카드 또는 2개 이상의 DNS 이름이 있는 인증서는 지원되지 않습니다.
  • VMCA의 부수적인 CA를 생성할 수 없습니다.

    Microsoft CA(인증 기관)를 사용하는 예는 VMware 기술 자료 문서(http://kb.vmware.com/kb/2112009)인 'vSphere 6.0에서 SSL 인증서 생성에 사용할 Microsoft CA(인증 기관) 템플릿 생성'을 참조하십시오.

VMCA는 사용자가 루트 인증서를 교체할 때 다음의 인증서 특성을 확인합니다.
  • 키 크기 2048비트 이상
  • 키 용도: 인증서 서명
  • 기본 제약 조건: 주체 유형 CA

프로시저

  1. CSR을 생성하여 CA에 보냅니다.
    CA의 지시사항을 따릅니다.
  2. 서명된 VMCA 인증서와 타사 CA 또는 엔터프라이즈 CA의 전체 CA 체인이 함께 포함된 인증서 파일을 준비하고, rootca1.crt와 같은 이름으로 파일을 저장합니다.
    이렇게 하려면 PEM 형식의 모든 CA 인증서를 하나의 파일로 복사합니다. VMCA 루트 인증서부터 시작하여 루트 CA PEM 인증서에서 마쳐야 합니다. 예: 
    -----BEGIN CERTIFICATE-----
<Certificate of VMCA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Certificate of intermediary CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Certificate of Root CA>
-----END CERTIFICATE-----
  3. 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.
    서비스 이름은 Windows와 vCenter Server Appliance에서 서로 다릅니다.
    참고: 환경에서 외부 Platform Services Controller를 사용하는 경우 vCenter Server 노드에서 VMware Directory Service(vmdird) 및 VMware Certificate Authority(vmcad)를 중지하고 시작할 필요가 없습니다. Platform Services Controller에서 이러한 서비스가 실행됩니다.
    Windows 
    service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
    vCenter Server Appliance 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  4. 기존 VMCA 루트 CA를 교체합니다. 
    certool --rootca --cert=rootca1.crt --privkey=root1.key
    이 명령은 실행 시 다음을 수행합니다.
    • 파일 시스템의 인증서 위치에 새 사용자 지정 루트 인증서를 추가합니다.
    • VCES의 TRUSTED_ROOTS 저장소에 사용자 지정 루트 인증서를 추가합니다(지연 후).
    • vmdir에 사용자 지정 루트 인증서를 추가합니다(지연 후).
  5. (선택 사항) 변경 내용을 vmdir(VMware 디렉토리 서비스)의 모든 인스턴스로 전파하려면 새 루트 인증서를 vmdir로 게시합니다. 이 때 각 파일의 전체 파일 경로를 제공합니다.
    예: 
    dir-cli trustedcert publish --cert rootca1.crt
    30초마다 vmdir 노드 간 복제가 수행됩니다. VECS는 5분마다 vmdir을 폴링하여 새 루트 인증서 파일을 검색하므로 루트 인증서를 VECS에 명시적으로 추가할 필요가 없습니다.
  6. (선택 사항) 필요한 경우 VECS를 강제로 새로 고칠 수 있습니다. 
    vecs-cli force-refresh
  7. 모든 서비스를 다시 시작합니다. 
    service-control --start --all

예: 루트 인증서 교체

certool 명령을 --rootca 옵션과 함께 사용하여 VMCA 루트 인증서를 사용자 지정 CA 루트 인증서로 교체합니다. 

C:\>"C:\Program Files\VMware\vCenter Server\vmcad\certool" --rootca --cert=C:\custom-certs\root.pem -–privkey=C:\custom-certs\root.key
이 명령은 실행 시 다음을 수행합니다.
  • 파일 시스템의 인증서 위치에 새 사용자 지정 루트 인증서를 추가합니다.
  • VCES의 TRUSTED_ROOTS 저장소에 사용자 지정 루트 인증서를 추가합니다.
  • 사용자 지정 루트 인증서를 vmdir에 추가합니다.

다음에 수행할 작업

회사 정책에 따라 필요한 경우 원래 VMCA 루트 인증서를 인증서 저장소에서 제거할 수 있습니다. 그렇게 하는 경우 vCenter Single Sign-On 서명 인증서를 교체해야 합니다. 보안 토큰 서비스 인증서 새로 고침의 내용을 참조하십시오.