vSphere 6.0 이상에서 VMCA(VMware Certificate Authority)는 기본적으로 VMCA를 루트 인증서로 가지고 있는 서명된 인증서로 새로운 각 ESXi 호스트를 프로비저닝합니다. 프로비저닝은 호스트가 vCenter Server에 명시적으로 추가되거나 ESXi 6.0 이상으로의 업그레이드 또는 설치의 일부로 추가될 때 발생합니다.
vSphere Client에서 그리고 vSphere Web Services SDK에서 vim.CertificateManager API를 사용하여 ESXi 인증서를 보고 관리할 수 있습니다. vCenter Server 인증서 관리에 사용할 수 있는 인증서 관리 CLI를 사용하여 ESXi 인증서를 보거나 관리할 수 없습니다.
vSphere 5.5 및 vSphere 6.x의 인증서
ESXi 및 vCenter Server는 통신할 때 거의 모든 관리 트래픽에 TLS/SSL을 사용합니다.
vSphere 5.5 이하에서 TLS/SSL 끝점은 사용자 이름, 암호 및 지문의 조합을 통해서만 보호됩니다. 사용자는 해당하는 자체 서명된 인증서를 자신의 인증서로 교체할 수 있습니다. vSphere 5.5 설명서 센터를 참조하십시오.
인증서 모드 | 설명 |
---|---|
VMware Certificate Authority(기본값) | VMCA가 모든 ESXi 호스트를 최상위 CA 또는 중간 CA로 프로비저닝하는 경우 이 모드를 사용합니다. 기본적으로 VMCA는 인증서로 ESXi 호스트를 프로비저닝합니다. 이 모드에서는 vSphere Client에서 인증서를 새로 고치거나 갱신할 수 있습니다. |
사용자 지정 인증 기관 | 타사 또는 엔터프라이즈 CA가 서명한 사용자 지정 인증서만 사용하려는 경우 이 모드를 사용합니다.
이 모드에서는 사용자가 인증서 관리에 대한 책임이 있습니다.
vSphere Client에서 인증서를 새로 고치거나 갱신할 수 없습니다.
참고: 인증서 모드를 사용자 지정 인증 기관으로 변경하는 경우가 아니면 VMCA가
vSphere Client에서
갱신을 선택하는 경우와 같이 사용자 지정 인증서를 교체할 수도 있습니다.
|
지문 모드 | vSphere 5.5에서는 지문 모드를 사용했으며 이 모드는 vSphere 6.x에 대한 폴백 옵션으로 아직 사용할 수 있습니다. 이 모드에서 vCenter Server는 인증서가 올바른 형식인지 검사하지만 인증서의 유효성은 검사하지 않습니다. 만료된 인증서도 수락됩니다. 다른 두 모드 중 하나로 해결할 수 없는 문제가 발생하는 경우가 아니면 이 모드를 사용하지 마십시오. 일부 vCenter 6.x 이상 서비스는 지문 모드에서 올바르게 작동하지 않을 수 있습니다. |
인증서 만료
vSphere 6.0부터 vSphere Client에서 타사 CA 또는 VMCA가 서명한 인증서의 인증서 만료에 대한 정보를 볼 수 있습니다. vCenter Server를 통해 관리되는 모든 호스트 또는 개별 호스트에 대한 정보를 볼 수 있습니다. 인증서가 곧 만료됨 상태(8개월 미만)에 있는 경우 노란색 경보가 발생합니다. 인증서가 만료 임박 상태(2개월 미만)에 있는 경우 빨간색 경보가 발생합니다.
ESXi 프로비저닝 및 VMCA
설치 미디어에서 ESXi 호스트를 부팅할 때 호스트에는 처음에 자동 생성된 인증서가 있습니다. 호스트가 vCenter Server 시스템에 추가될 때 해당 호스트가 VMCA가 루트 CA로 서명한 인증서로 프로비저닝됩니다.
이 프로세스는 Auto Deploy로 프로비저닝된 호스트의 경우와 유사합니다. 그러나 이러한 호스트는 상태를 저장하지 않으므로 서명된 인증서가 Auto Deploy 서버에 의해 로컬 인증서 저장소에 저장됩니다. 이 인증서는 ESXi 호스트의 후속 부팅 시 재사용됩니다. Auto Deploy 서버는 내장된 배포 또는 vCenter Server 시스템의 일부입니다.
Auto Deploy 호스트가 처음으로 부팅될 때 VMCA를 사용할 수 없는 경우 호스트에서 먼저 연결을 시도합니다. 연결할 수 없는 경우 호스트는 VMCA를 사용할 수 있게 되고 서명된 인증서를 사용하여 호스트를 프로비저닝할 수 있을 때까지 종료와 재부팅을 반복합니다.
ESXi 인증서 관리에 필요한 권한
ESXi 호스트의 인증서를 관리하려면 권한이 있어야 합니다. 이 권한은 vSphere Client에서 설정할 수 있습니다.
호스트 이름 및 IP 주소 변경 사항
vSphere 6.0 이상에서 호스트 이름 또는 IP 주소 변경은 vCenter Server가 호스트 인증서의 유효성을 고려하는지 여부에 영향을 미칠 수 있습니다. 호스트를 vCenter Server에 추가하는 방식은 수동 작업이 필요한지 여부에 영향을 미칩니다. 수동 작업은 호스트를 다시 연결하거나 vCenter Server에서 호스트를 제거한 후 다시 추가하는 것을 의미합니다.
호스트가 다음을 사용하여 vCenter Server에 추가된 경우... | 호스트 이름 변경 | IP 주소 변경 |
---|---|---|
호스트 이름 | vCenter Server 연결 문제. 수동 작업이 필요합니다. | 작업이 필요하지 않습니다. |
IP 주소 | 작업이 필요하지 않습니다. | vCenter Server 연결 문제. 수동 작업이 필요합니다. |