시스템 SSL 인증서를 교체한 후에는 솔루션 사용자 인증서를 교체할 수 있습니다.

대부분의 VMware 고객은 솔루션 사용자 인증서를 교체하지 않고 시스템 SSL 인증서만 사용자 지정 인증서로 교체합니다. 이러한 하이브리드 방식은 사용자의 보안 팀 요구 사항을 충족합니다.
  • 인증서는 프록시 뒤에 있는 인증서이거나, 사용자 지정 인증서입니다.
  • 중간 CA는 사용되지 않습니다.

각 관리 노드 및 각 Platform Services Controller 노드에서 시스템 솔루션 사용자 인증서를 교체합니다. 다른 솔루션 사용자 인증서는 각 관리 노드에서만 교체합니다. 외부 Platform Services Controller를 사용하는 관리 노드에서 명령을 실행할 때는 --server 매개 변수를 사용하여 Platform Services Controller를 가리킵니다.

참고: 대규모 배포의 솔루션 사용자 인증서를 나열할 경우 dir-cli list의 출력에는 모든 노드의 모든 솔루션 사용자가 포함됩니다. 각 호스트의 로컬 시스템 ID를 찾으려면 vmafd-cli get-machine-id --server-name localhost를 실행하십시오. 각 솔루션 사용자 이름에 시스템 ID가 포함되어 있습니다.

사전 요구 사항

각 솔루션 사용자 인증서마다 Subject가 서로 달라야 합니다. 예를 들어 솔루션 사용자 이름(예: vpxd) 또는 다른 고유한 ID를 포함하는 것을 고려하십시오.

참고: vpxd 인증서 저장소는 vCenter Server Appliance에만 존재하고 Platform Services Controller에는 존재하지 않습니다.

프로시저

  1. certool.cfg 사본을 하나 만든 다음 이름, IP 주소, DNS 이름, 이메일 필드를 제거하고 파일의 이름을 변경합니다(예: sol_usr.cfg).
    생성 과정의 일부로 명령줄에서 인증서의 이름을 지정할 수 있습니다. 기타 정보는 솔루션 사용자에게 필요하지 않습니다. 기본 정보를 그대로 두면 생성된 인증서가 혼란을 줄 수 있습니다.
  2. 공개/개인 키 파일 쌍과 각 솔루션 사용자에 대한 인증서를 생성하고 직전에 사용자 지정한 구성 파일을 사용하여 전달합니다.
    예: 
    certool --genkey --privkey=vpxd.priv --pubkey=vpxd.pub
certool --gencert --privkey=vpxd.priv --cert vpxd.crt --Name=VPXD_1 --config sol_usr.cfg
  3. 각 솔루션 사용자의 이름을 찾습니다. 
    dir-cli service list
    인증서를 교체할 때 반환된 고유 ID를 사용할 수 있습니다. 입력 및 출력이 다음과 같을 수 있습니다. 
    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
Enter password for [email protected]:
1. machine-1d364500-4b45-11e4-96c2-020011c98db3
2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3
    다중 노드 배포의 솔루션 사용자 인증서를 나열할 경우 dir-cli 의 출력에는 모든 노드의 모든 솔루션 사용자가 포함됩니다. 각 호스트의 로컬 시스템 ID를 찾으려면 vmafd-cli get-machine-id --server-name localhost를 실행하십시오. 각 솔루션 사용자 이름에 시스템 ID가 포함되어 있습니다.
  4. 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.
    서비스 이름은 Windows와 vCenter Server Appliance에서 서로 다릅니다.
    참고: 환경에서 외부 Platform Services Controller를 사용하는 경우 vCenter Server 노드에서 VMware Directory Service(vmdird) 및 VMware Certificate Authority(vmcad)를 중지하고 시작할 필요가 없습니다. Platform Services Controller에서 이러한 서비스가 실행됩니다.
    Windows 
    service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
    vCenter Server Appliance 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  5. vmdir과 VECS에서 차례로 기존 인증서를 교체합니다.
    솔루션 사용자의 경우 이 순서대로 인증서를 추가해야 합니다. 예: 
    dir-cli service update --name <vpxd-xxxx-xxx-7c7b769cd9f4> --cert ./vpxd.crt
vecs-cli entry delete --store vpxd --alias vpxd
vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    참고: vmdir에서 인증서를 교체하지 않으면 솔루션 사용자가 vCenter Single Sign-On에 로그인할 수 없습니다.
  6. 모든 서비스를 다시 시작합니다. 
    service-control --start --all

예: 솔루션 사용자 인증서 교체(중간 CA)

  1. 각 솔루션 사용자에 대한 공개/개인 키 쌍을 생성합니다. 여기에는 각 Platform Services Controller과 각 관리 노드의 시스템 솔루션 사용자용 쌍과 각 관리 노드의 각 추가 솔루션 사용자(vpxd, vpxd-extension, vsphere-webclient)용 쌍이 포함됩니다.
    1. 내장된 배포의 시스템 솔루션 사용자 또는 Platform Services Controller의 시스템 솔루션 사용자를 위한 키 쌍을 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
    2. (선택 사항) 외부 Platform Services Controller가 있는 배포의 경우 각 관리 노드에서 시스템 솔루션 사용자를 위한 키 쌍을 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
    3. 각 관리 노드에서 vpxd 솔루션 사용자를 위한 키 쌍을 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vpxd-key.priv --pubkey=vpxd-key.pub
    4. 각 관리 노드에서 vpxd-extension 솔루션 사용자를 위한 키 쌍을 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vpxd-extension-key.priv --pubkey=vpxd-extension-key.pub
    5. 각 관리 노드에서 vsphere-webclient 솔루션 사용자를 위한 키 쌍을 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vsphere-webclient-key.priv --pubkey=vsphere-webclient-key.pub
  2. Platform Services Controller 및 각 관리 노드의 시스템 솔루션 사용자 그리고 각 관리 노드의 추가적인 각 솔루션 사용자(vpxd, vpxd-extension, vsphere-webclient)에 대해 새 VMCA 루트 인증서로 서명된 솔루션 사용자 인증서를 생성합니다.
    참고: --Name 매개 변수는 고유해야 합니다. 솔루션 사용자 저장소의 이름을 포함하면 각 인증서가 어느 솔루션 사용자에게 매핑되는지 쉽게 확인할 수 있습니다. 이 예제에서는 각각에 vpxd 또는 vpxd-extension 같은 이름이 포함됩니다.
    1. Platform Services Controller 노드에서 다음 명령을 실행하여 해당 노드의 시스템 솔루션 사용자에 대한 솔루션 사용자 인증서를 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine
    2. 각 관리 노드에서 시스템 솔루션 사용자용 인증서를 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine --server=<psc-ip-or-fqdn>
    3. 각 관리 노드에서 vpxd 솔루션 사용자용 인증서를 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vpxd.crt --privkey=vpxd-key.priv --Name=vpxd --server=<psc-ip-or-fqdn>
    4. 각 관리 노드에서 vpxd-extensions 솔루션 사용자용 인증서를 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vpxd-extension.crt --privkey=vpxd-extension-key.priv --Name=vpxd-extension --server=<psc-ip-or-fqdn>
    5. 다음 명령을 실행하여 각 관리 노드에서 vsphere-webclient 솔루션 사용자용 인증서를 생성합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vsphere-webclient.crt --privkey=vsphere-webclient-key.priv --Name=vsphere-webclient --server=<psc-ip-or-fqdn>
  3. VECS의 솔루션 사용자 인증서를 새 솔루션 사용자 인증서로 교체합니다.
    참고: --store--alias 매개 변수는 서비스의 기본 이름과 정확하게 일치해야 합니다.
    1. Platform Services Controller 노드에서 다음 명령을 실행하여 시스템 솔루션 사용자 인증서를 교체합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store machine --alias machine
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store machine --alias machine --cert new-machine.crt --key machine-key.priv
    2. 각 관리 노드에서 시스템 솔루션 사용자 인증서를 교체합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store machine --alias machine
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store machine --alias machine --cert new-machine-vc.crt --key machine-vc-key.priv
    3. 각 관리 노드에서 vpxd 솔루션 사용자 인증서를 교체합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vpxd --alias vpxd
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vpxd --alias vpxd --cert new-vpxd.crt --key vpxd-key.priv
    4. 각 관리 노드에서 vpxd-extension 솔루션 사용자 인증서를 교체합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vpxd-extension --alias vpxd-extension
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vpxd-extension --alias vpxd-extension --cert new-vpxd-extension.crt --key vpxd-extension-key.priv
    5. 각 관리 노드에서 vsphere-webclient 솔루션 사용자 인증서를 교체합니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vsphere-webclient --alias vsphere-webclient
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vsphere-webclient --alias vsphere-webclient --cert new-vsphere-webclient.crt --key vsphere-webclient-key.priv
  4. VMware 디렉토리 서비스(vmdir)를 새 솔루션 사용자 인증서로 업데이트합니다. vCenter Single Sign-On 관리자 암호를 묻는 메시지가 나타납니다.
    1. dir-cli service list를 실행하여 각 솔루션 사용자에 대한 고유한 서비스 ID 접미사를 가져옵니다. 이 명령은 Platform Services Controller 또는 vCenter Server 시스템에서 실행할 수 있습니다. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli>dir-cli service list
output:
1. machine-29a45d00-60a7-11e4-96ff-00505689639a
2. machine-6fd7f140-60a9-11e4-9e28-005056895a69
3. vpxd-6fd7f140-60a9-11e4-9e28-005056895a69
4. vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69
5. vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69
      참고: 대규모 배포의 솔루션 사용자 인증서를 나열할 경우 dir-cli list의 출력에는 모든 노드의 모든 솔루션 사용자가 포함됩니다. 각 호스트의 로컬 시스템 ID를 찾으려면 vmafd-cli get-machine-id --server-name localhost를 실행하십시오. 각 솔루션 사용자 이름에 시스템 ID가 포함되어 있습니다.
    2. Platform Services Controller에서 vmdir의 시스템 인증서를 교체합니다. 예를 들어 machine-29a45d00-60a7-11e4-96ff-00505689639a가 Platform Services Controller의 시스템 솔루션 사용자인 경우 다음 명령을 실행하십시오. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name machine-29a45d00-60a7-11e4-96ff-00505689639a --cert new-machine-1.crt
    3. 각 관리 노드에서 vmdir의 시스템 인증서를 교체합니다. 예를 들어 machine-6fd7f140-60a9-11e4-9e28-005056895a69가 vCenter Server의 시스템 솔루션 사용자인 경우 이 명령을 실행하십시오. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name machine-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-machine-2.crt
    4. 각 관리 노드에서 vmdir의 vpxd 솔루션 사용자 인증서를 교체합니다. 예를 들어 vpxd-6fd7f140-60a9-11e4-9e28-005056895a69가 vpxd 솔루션 사용자 ID인 경우 이 명령을 실행하십시오. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd.crt
    5. 각 관리 노드에서 vmdir의 vpxd-extension 솔루션 사용자 인증서를 교체합니다. 예를 들어 vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69가 vpxd-extension 솔루션 사용자 ID인 경우 이 명령을 실행하십시오. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd-extension.crt
    6. 각 관리 노드에서 vsphere-webclient 솔루션 사용자 인증서를 교체합니다. 예를 들어 vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69가 vsphere-webclient 솔루션 사용자 ID인 경우 이 명령을 실행하십시오. 
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vsphere-webclient.crt