구성하는 시스템에 대한 요구 사항과 회사 정책에 따라 다양한 유형의 인증서 교체를 수행할 수 있습니다. vSphere Certificate Manager 유틸리티를 사용하거나 설치에 포함된 CLI를 사용하여 수동으로 vCenter Server에서 인증서 교체를 수행할 수 있습니다.

VMCA는 각 vCenter Server 배포에 포함되어 있습니다. VMCA는 각 노드, 각 vCenter Server 솔루션 사용자 및 각 ESXi 호스트를 인증 기관인 VMCA에서 서명한 인증서로 프로비저닝합니다.

기본 인증서를 교체할 수 있습니다. vCenter Server 구성 요소의 경우 설치에 포함된 명령줄 도구 집합을 사용할 수 있습니다. 여러 옵션이 있습니다.

VMCA에서 서명한 인증서로 교체

VMCA 인증서가 만료되거나 다른 이유로 인증서를 교체하려는 경우 인증서 관리 CLI를 사용하여 해당 프로세스를 수행할 수 있습니다. 기본적으로 VMCA 루트 인증서는 10년 후에 만료되고 VMCA에서 서명한 모든 인증서는 루트 인증서가 만료될 때, 즉 최대 10년 후에 만료됩니다.

그림 1. VMCA에서 서명한 인증서가 VECS에 저장됨
기본 모드에서는 VMCA가 VMCA에서 서명한 인증서로 프로비저닝합니다.
다음과 같은 vSphere Certificate Manager 옵션을 사용할 수 있습니다.
  • VMCA 인증서로 시스템 SSL 인증서 교체
  • VMCA 인증서로 솔루션 사용자 인증서 교체

수동 인증서 교체는 기존 VMCA 서명 인증서를 새 VMCA 서명 인증서로 교체 항목을 참조하십시오.

VMCA를 중간 CA로 만들기

VMCA 루트 인증서를 엔터프라이즈 CA 또는 타사 CA에서 서명한 인증서로 교체할 수 있습니다. VMCA는 인증서를 프로비저닝하고 VMCA를 중간 CA로 만들 때마다 사용자 지정 루트 인증서에 서명합니다.
참고: vCenter Server를 사용하여 새로 설치를 수행하는 경우 ESXi 호스트를 추가하기 전에 VMCA 루트 인증서를 교체합니다. 이렇게 VMCA가 체인 전체에 서명하므로 새 인증서를 생성하지 않아도 됩니다.
그림 2. 타사 또는 엔터프라이즈 CA에서 서명한 인증서가 VMCA를 중간 CA로 사용
VMCA 인증서가 중간 인증서로 포함됩니다. 루트 인증서를 타사 CA에서 서명합니다.
다음과 같은 vSphere Certificate Manager 옵션을 사용할 수 있습니다.
  • 사용자 지정 서명 인증서로 VMCA 루트 인증서 교체 및 모든 인증서 교체
  • VMCA 인증서로 시스템 SSL 인증서 교체(다중 노드 고급 연결 모드 배포)
  • VMCA 인증서로 솔루션 사용자 인증서 교체(다중 노드 고급 연결 모드 배포)

수동 인증서 교체는 중간 CA(인증 기관)로 VMCA 사용 항목을 참조하십시오.

VMCA 사용 안 함, 사용자 지정 인증서로 프로비저닝

사용자 지정 인증서로 기존 VMCA 서명된 인증서를 교체할 수 있습니다. 해당 접근 방식을 사용하는 경우 모든 인증서 프로비저닝 및 모니터링에 대한 책임이 있습니다.

그림 3. 외부 인증서가 VECS에 직접 저장됨
외부 인증서는 VECS에 직접 저장됩니다. VMCA는 사용되지 않습니다.
다음과 같은 vSphere Certificate Manager 옵션을 사용할 수 있습니다.
  • 시스템 SSL 인증서를 사용자 지정 인증서로 교체
  • 솔루션 사용자 인증서를 사용자 지정 인증서로 교체

수동 인증서 교체는 vSphere와 함께 사용자 지정 인증서 사용 항목을 참조하십시오.

vSphere Client를 사용하여 시스템 SSL 인증서에 대한 CSR을 생성하고(사용자 지정) CA에서 인증서를 반환한 후 인증서를 교체할 수 있습니다. vSphere Client를 사용하여 시스템 SSL 인증서에 대한 인증서 서명 요청 생성(사용자 지정 인증서)의 내용을 참조하십시오.

하이브리드 배포

VMCA가 인증서 중 일부를 제공하도록 하면서 인프라의 다른 부분에 사용자 지정 인증서를 사용할 수 있습니다. 예를 들어 솔루션 사용자 인증서는 vCenter Single Sign-On에 인증하는 데에만 사용되므로 VMCA를 통해 이러한 인증서를 프로비저닝하는 것을 고려합니다. 모든 SSL 트래픽을 보호하려면 사용자 지정 인증서로 시스템 SSL 인증서를 교체합니다.

회사 정책에서는 대개 중간 CA를 허용하지 않습니다. 이런 경우에는 하이브리드 배포가 솔루션으로 적합합니다. 하이브리드 배포는 교체할 인증서 수를 최소화하고 모든 트래픽을 보호합니다. 하이브리드 배포를 사용할 경우 내부 트래픽, 즉 솔루션 사용자 트래픽만 기본 VMCA 서명 인증서를 사용합니다.

ESXi 인증서 교체

ESXi 호스트의 경우 vSphere Client에서 인증서 프로비저닝 동작을 변경할 수 있습니다. 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.

표 1. ESXi 인증서 교체 옵션
옵션 설명
VMware Certificate Authority 모드(기본값) vSphere Client에서 인증서를 갱신하는 경우 VMCA는 해당 호스트에 대한 인증서를 발급합니다. 인증서 체인을 포함하도록 VMCA 루트 인증서를 변경한 경우 호스트 인증서에는 전체 체인이 포함됩니다.
사용자 지정 인증 기관 모드 VMCA에서 서명하거나 발급하지 않은 인증서를 수동으로 업데이트하고 사용할 수 있습니다.
지문 모드 새로 고침 동안 5.5 인증서를 유지하는 데 사용할 수 있습니다. 디버깅 상황에서만 일시적으로 이 모드를 사용합니다.