vSphere Authentication Proxy에서 사용자 지정 인증서를 사용하려면 몇 가지 단계를 수행해야 합니다. 먼저 CSR을 생성하고 CA에 보내 서명을 받습니다. 그런 다음 서명된 인증서와 키 파일을 vSphere Authentication Proxy에서 액세스할 수 있는 위치에 배치합니다.
기본적으로 vSphere Authentication Proxy는 처음 부팅 시 CSR을 생성하고 해당 CSR에 서명하도록 VMCA에 요청합니다. vSphere Authentication Proxy는 해당 인증서를 사용하여 vCenter Server에 등록합니다. 사용자 지정 인증서를 vCenter Server에 추가하면 이러한 인증서를 환경에서 사용할 수 있습니다.
프로시저
- vSphere Authentication Proxy용 CSR 생성
- 다음 예와 같이 구성 파일 /var/lib/vmware/vmcam/ssl/vmcam.cfg를 생성합니다.
[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:dns.static-1.csl.vmware.com
[ req_distinguished_name ]
countryName = IE
stateOrProvinceName = Cork
localityName = Cork
0.organizationName = VMware
organizationalUnitName = vTSU
commonName = test-cam-1.test1.vmware.com
- openssl을 실행하여 CSR 파일과 키 파일을 생성하고 구성 파일에 전달합니다.
openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
- 다음 위치에 저장된 rui.crt 인증서와 rui.key 파일을 백업합니다.
운영 체제 |
위치 |
vCenter Server Appliance |
/var/lib/vmware/vmcam/ssl/rui.crt |
Windows의 vCenter Server |
C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt |
- vSphere Authentication Proxy 등록 취소
- camregister 스크립트가 있는 디렉토리로 이동합니다.
운영 체제 |
명령 |
vCenter Server Appliance |
/usr/lib/vmware-vmcam/bin |
Windows의 vCenter Server |
C:\Program Files\VMware\vCenter Server\vmcamd |
- 다음 명령을 실행합니다.
camregister --unregister -a VC_address -u user
user는
vCenter Server에 대한 관리자 사용 권한이 있는 vCenter Single Sign-On 사용자여야 합니다.
- vSphere Authentication Proxy 서비스를 중지합니다.
도구 |
단계 |
VAMI(vCenter Server Appliance 관리 인터페이스) |
- 웹 브라우저에서 vCenter Server Appliance 관리 인터페이스, https:// appliance-IP-address-or-FQDN:5480으로 이동합니다.
- 루트로 로그인합니다.
기본 루트 암호는 vCenter Server Appliance를 배포하는 중에 설정하는 암호입니다.
- 서비스를 클릭하고 VMware vSphere Authentication Proxy 서비스를 클릭합니다.
- 중지를 클릭합니다.
|
vSphere Web Client |
- 관리를 선택하고 배포 아래에서 시스템 구성을 클릭합니다.
- 서비스를 클릭하고 VMware vSphere Authentication Proxy 서비스를 클릭한 후 빨간색 서비스 중지 아이콘을 클릭합니다.
|
CLI |
service-control --stop vmcam
|
- 기존 rui.crt 인증서와 rui.key 파일을 CA에서 받은 파일로 교체합니다.
- vSphere Authentication Proxy 서비스를 다시 시작합니다.
- 새 인증서와 키를 사용해 vSphere Authentication Proxy를 vCenter Server에 명시적으로 재등록합니다.
camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key