vSphere 6.0부터는 ESXi 호스트가 기본적으로 VMCA를 통해 인증서로 프로비저닝됩니다. 대신 사용자 지정 인증서 모드를 사용하거나 디버깅 목적으로 기존 지문 모드를 사용할 수 있습니다. 대부분의 경우 모드 전환은 지장을 주며 필요하지 않습니다. 모드 전환이 꼭 필요한 경우에는 시작하기 전에 잠재적 영향을 검토하십시오.
인증서 모드 | 설명 |
---|---|
VMware Certificate Authority(기본값) | 기본적으로 VMware Certificate Authority가 ESXi 호스트 인증서의 CA로 사용됩니다. VMCA는 기본적으로 루트 CA지만 다른 CA에 대한 중간 CA로 설정될 수 있습니다. 이 모드에서는 사용자가 vSphere Client에서 인증서를 관리할 수 있습니다. VMCA가 하위 인증서인 경우에도 사용됩니다. |
사용자 지정 인증 기관 | 일부 고객은 자신의 외부 인증 기관을 관리하는 것을 선호할 수 있습니다. 이 모드에서는 고객이 인증서 관리에 대한 책임이 있으며 vSphere Client에서 인증서를 관리할 수 없습니다. |
지문 모드 | vSphere 5.5에서는 지문 모드를 사용했으며 이 모드는 vSphere 6.0에 대한 폴백 옵션으로 계속 사용할 수 있습니다. 다른 두 모드 중 하나에 해결할 수 없는 문제가 발생한 경우에만 이 모드를 사용하십시오. 일부 vCenter 6.0 이상 서비스는 지문 모드에서 올바르게 작동하지 않을 수 있습니다. |
사용자 지정 ESXi 인증서 사용
회사 정책에 따라 VMCA가 아닌 다른 루트 CA를 사용해야 하는 경우 신중한 계획 후 환경에서 인증서 모드를 전환할 수 있습니다. 워크플로는 다음과 같습니다.
- 사용할 인증서를 가져옵니다.
- 호스트를 유지 보수 모드로 설정하고 vCenter Server와의 연결을 끊습니다.
- 사용자 지정 CA의 루트 인증서를 VECS에 추가합니다.
- 사용자 지정 CA 인증서를 각 호스트에 배포한 후 해당 호스트에서 서비스를 다시 시작합니다.
- 사용자 지정 CA 모드로 전환합니다. 인증서 모드 변경의 내용을 참조하십시오.
- 호스트를 vCenter Server 시스템에 연결합니다.
사용자 지정 CA 모드에서 VMCA 모드로 전환
사용자 지정 CA 모드를 사용 중이며 VMCA 사용이 환경에서 더욱 효과적으로 작동함을 확인하는 경우 신중한 계획 후 모드 전환을 수행할 수 있습니다. 워크플로는 다음과 같습니다.
- vCenter Server 시스템에서 모든 호스트를 제거합니다.
- vCenter Server 시스템의 VECS에서 타사 CA의 루트 인증서를 제거합니다.
- VMCA 모드로 전환합니다. 인증서 모드 변경의 내용을 참조하십시오.
- 호스트를 vCenter Server 시스템에 추가합니다.
업그레이드 동안 지문 모드 인증서 유지
VMCA 모드에서 지문 모드로의 전환은 VMCA 인증서와 관련된 문제가 발생하는 경우에 필요할 수 있습니다. 지문 모드에서는 vCenter Server 시스템이 인증서가 존재하고 올바르게 포맷되었는지 여부만 검사하며 인증서가 유효한지 여부는 검사하지 않습니다. 자세한 내용은 인증서 모드 변경의 내용을 참조하십시오.
지문 모드에서 VMCA 모드로 전환
지문 모드를 사용하며 VMCA 서명된 인증서를 사용하기 시작하려는 경우 전환에 약간의 계획이 필요합니다. 워크플로는 다음과 같습니다.
- vCenter Server 시스템에서 모든 호스트를 제거합니다.
- VMCA 인증서 모드로 전환합니다. 인증서 모드 변경의 내용을 참조하십시오.
- 호스트를 vCenter Server 시스템에 추가합니다.
사용자 지정 CA 모드에서 지문 모드로 전환
사용자 지정 CA와 관련된 문제가 발생하는 경우 일시적으로 지문 모드로 전환하는 것을 고려하십시오. 인증서 모드 변경의 지침을 따르면 전환이 원활하게 진행됩니다. 모드 전환 후 vCenter Server 시스템은 인증서의 형식만 검사하며 인증서 자체의 유효성은 더 이상 검사하지 않습니다.
지문 모드에서 사용자 지정 CA 모드로 전환
문제 해결 동안 환경을 지문 모드로 설정하고 사용자 지정 CA 모드를 사용하기 시작하려는 경우 먼저 필요한 인증서를 생성해야 합니다. 워크플로는 다음과 같습니다.
- vCenter Server 시스템에서 모든 호스트를 제거합니다.
- 사용자 지정 CA 루트 인증서를 vCenter Server 시스템에 있는 VECS의 TRUSTED_ROOTS 저장소에 추가합니다. vCenter Server TRUSTED_ROOTS 스토어 업데이트(사용자 지정 인증서)의 내용을 참조하십시오.
- 각 ESXi 호스트에 대해 다음을 수행합니다.
- 사용자 지정 CA 인증서 및 키를 배포합니다.
- 호스트에서 서비스를 다시 시작합니다.
- 사용자 지정 모드로 전환합니다. 인증서 모드 변경의 내용을 참조하십시오.
- 호스트를 vCenter Server 시스템에 추가합니다.