ESXi 호스트에 대한 인증서 관리

vSphere 6.0 이상에서 VMCA(VMware Certificate Authority)는 기본적으로 VMCA를 루트 인증서로 가지고 있는 서명된 인증서로 새로운 각 ESXi 호스트를 프로비저닝합니다. 프로비저닝은 호스트가 vCenter Server에 명시적으로 추가되거나 ESXi 6.0 이상으로의 업그레이드 또는 설치의 일부로 추가될 때 발생합니다.

vSphere Client에서 그리고 vSphere Web Services SDK에서 vim.CertificateManager API를 사용하여 ESXi 인증서를 보고 관리할 수 있습니다. vCenter Server 인증서 관리에 사용할 수 있는 인증서 관리 CLI를 사용하여 ESXi 인증서를 보거나 관리할 수 없습니다.

vSphere 5.5 및 vSphere 6.x의 인증서

ESXi 및 vCenter Server는 통신할 때 거의 모든 관리 트래픽에 TLS/SSL을 사용합니다.

vSphere 5.5 이하에서 TLS/SSL 끝점은 사용자 이름, 암호 및 지문의 조합을 통해서만 보호됩니다. 사용자는 해당하는 자체 서명된 인증서를 자신의 인증서로 교체할 수 있습니다. vSphere 5.5 설명서 센터를 참조하십시오.

vSphere 6.0 이상에서 vCenter Server는 ESXi 호스트에 대한 다음과 같은 인증서 모드를 지원합니다.

표 1. ESXi 호스트에 대한 인증서 모드
인증서 모드	설명
VMware Certificate Authority(기본값)	VMCA가 모든 ESXi 호스트를 최상위 CA 또는 중간 CA로 프로비저닝하는 경우 이 모드를 사용합니다. 기본적으로 VMCA는 인증서로 ESXi 호스트를 프로비저닝합니다. 이 모드에서는 vSphere Client에서 인증서를 새로 고치거나 갱신할 수 있습니다.
사용자 지정 인증 기관	타사 또는 엔터프라이즈 CA가 서명한 사용자 지정 인증서만 사용하려는 경우 이 모드를 사용합니다. 이 모드에서는 사용자가 인증서 관리에 대한 책임이 있습니다. vSphere Client에서 인증서를 새로 고치거나 갱신할 수 없습니다. 참고: 인증서 모드를 사용자 지정 인증 기관으로 변경하는 경우가 아니면 VMCA가 vSphere Client에서 갱신을 선택하는 경우와 같이 사용자 지정 인증서를 교체할 수도 있습니다.
지문 모드	vSphere 5.5에서는 지문 모드를 사용했으며 이 모드는 vSphere 6.x에 대한 폴백 옵션으로 아직 사용할 수 있습니다. 이 모드에서 vCenter Server는 인증서가 올바른 형식인지 검사하지만 인증서의 유효성은 검사하지 않습니다. 만료된 인증서도 수락됩니다. 다른 두 모드 중 하나로 해결할 수 없는 문제가 발생하는 경우가 아니면 이 모드를 사용하지 마십시오. 일부 vCenter 6.x 이상 서비스는 지문 모드에서 올바르게 작동하지 않을 수 있습니다.

인증서 만료

vSphere 6.0부터 vSphere Client에서 타사 CA 또는 VMCA가 서명한 인증서의 인증서 만료에 대한 정보를 볼 수 있습니다. vCenter Server를 통해 관리되는 모든 호스트 또는 개별 호스트에 대한 정보를 볼 수 있습니다. 인증서가 곧 만료됨 상태(8개월 미만)에 있는 경우 노란색 경보가 발생합니다. 인증서가 만료 임박 상태(2개월 미만)에 있는 경우 빨간색 경보가 발생합니다.

ESXi 프로비저닝 및 VMCA

설치 미디어에서 ESXi 호스트를 부팅할 때 호스트에는 처음에 자동 생성된 인증서가 있습니다. 호스트가 vCenter Server 시스템에 추가될 때 해당 호스트가 VMCA가 루트 CA로 서명한 인증서로 프로비저닝됩니다.

이 프로세스는 Auto Deploy로 프로비저닝된 호스트의 경우와 유사합니다. 그러나 이러한 호스트는 상태를 저장하지 않으므로 서명된 인증서가 Auto Deploy 서버에 의해 로컬 인증서 저장소에 저장됩니다. 이 인증서는 ESXi 호스트의 후속 부팅 시 재사용됩니다. Auto Deploy 서버는 내장된 배포 또는 vCenter Server 시스템의 일부입니다.

Auto Deploy 호스트가 처음으로 부팅될 때 VMCA를 사용할 수 없는 경우 호스트에서 먼저 연결을 시도합니다. 연결할 수 없는 경우 호스트는 VMCA를 사용할 수 있게 되고 서명된 인증서를 사용하여 호스트를 프로비저닝할 수 있을 때까지 종료와 재부팅을 반복합니다.

ESXi 인증서 관리에 필요한 권한

ESXi 호스트의 인증서를 관리하려면 인증서.인증서 관리 권한이 있어야 합니다. 이 권한은 vSphere Client에서 설정할 수 있습니다.

호스트 이름 및 IP 주소 변경 사항

vSphere 6.0 이상에서 호스트 이름 또는 IP 주소 변경은 vCenter Server가 호스트 인증서의 유효성을 고려하는지 여부에 영향을 미칠 수 있습니다. 호스트를 vCenter Server에 추가하는 방식은 수동 작업이 필요한지 여부에 영향을 미칩니다. 수동 작업은 호스트를 다시 연결하거나 vCenter Server에서 호스트를 제거한 후 다시 추가하는 것을 의미합니다.

표 2. 호스트 이름 또는 IP 주소 변경에 수동 작업이 필요한 경우
호스트가 다음을 사용하여 vCenter Server에 추가된 경우...	호스트 이름 변경	IP 주소 변경
호스트 이름	vCenter Server 연결 문제. 수동 작업이 필요합니다.	작업이 필요하지 않습니다.
IP 주소	작업이 필요하지 않습니다.	vCenter Server 연결 문제. 수동 작업이 필요합니다.