시스템 SSL 인증서를 교체한 후에는 VMCA 서명 솔루션 사용자 인증서를 타사 또는 엔터프라이즈 인증서로 교체할 수 있습니다.

대부분의 VMware 고객은 솔루션 사용자 인증서를 교체하지 않고 시스템 SSL 인증서만 사용자 지정 인증서로 교체합니다. 이러한 하이브리드 방식은 사용자의 보안 팀 요구 사항을 충족합니다.
  • 인증서는 프록시 뒤에 있는 인증서이거나, 사용자 지정 인증서입니다.
  • 중간 CA는 사용되지 않습니다.

솔루션 사용자는 vCenter Single Sign-On에 인증할 때만 인증서를 사용합니다. 인증서가 유효하면 vCenter Single Sign-On이 SAML 토큰을 솔루션 사용자에게 할당하며 솔루션 사용자는 SAML 토큰을 사용하여 다른 vCenter 구성 요소에 인증합니다.

각 관리 노드 및 각 Platform Services Controller 노드에서 시스템 솔루션 사용자 인증서를 교체합니다. 다른 솔루션 사용자 인증서는 각 관리 노드에서만 교체합니다. 외부 Platform Services Controller를 사용하는 관리 노드에서 명령을 실행할 때는 --server 매개 변수를 사용하여 Platform Services Controller를 가리킵니다.

참고: 대규모 배포의 솔루션 사용자 인증서를 나열할 경우 dir-cli list의 출력에는 모든 노드의 모든 솔루션 사용자가 포함됩니다. 각 호스트의 로컬 시스템 ID를 찾으려면 vmafd-cli get-machine-id --server-name localhost를 실행하십시오. 각 솔루션 사용자 이름에 시스템 ID가 포함되어 있습니다.

사전 요구 사항

  • 키 크기: 2048비트 이상(PEM 인코딩)
  • CRT 형식
  • x509 버전 3
  • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.

  • 각 솔루션 사용자 인증서마다 Subject가 서로 달라야 합니다. 예를 들어 솔루션 사용자 이름(예: vpxd) 또는 다른 고유한 ID를 포함하는 것을 고려하십시오.

  • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화

프로시저

  1. 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다. 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmca
  2. 각 솔루션 사용자의 이름을 찾습니다. 
    dir-cli service list
    인증서를 교체할 때 반환된 고유 ID를 사용할 수 있습니다. 입력 및 출력이 다음과 같을 수 있습니다. 
    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
Enter password for [email protected]:
1. machine-1d364500-4b45-11e4-96c2-020011c98db3
2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3
    다중 노드 배포의 솔루션 사용자 인증서를 나열할 경우 dir-cli 의 출력에는 모든 노드의 모든 솔루션 사용자가 포함됩니다. 각 호스트의 로컬 시스템 ID를 찾으려면 vmafd-cli get-machine-id --server-name localhost를 실행하십시오. 각 솔루션 사용자 이름에 시스템 ID가 포함되어 있습니다.
  3. 각 솔루션 사용자에 대해 VECS 및 vmdir에서 차례로 기존 인증서를 교체합니다.
    이 순서로 인증서를 추가해야 합니다. 
    vecs-cli entry delete --store vpxd --alias vpxd
vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
dir-cli service update --name <vpxd-xxxx-xxx-xxxxxx> --cert vpxd.crt
    참고: vmdir에서 인증서를 교체하지 않으면 솔루션 사용자가 vCenter Single Sign-On에 인증할 수 없습니다.
  4. 모든 서비스를 다시 시작합니다. 
    service-control --start --all