새 VMCA 서명 루트 인증서 생성

certool CLI 또는 vSphere Certificate Manager 유틸리티를 사용하여 VMCA 서명된 인증서를 새로 생성한 후 vmdir에 게시합니다.

프로시저

vCenter Server에서 새 자체 서명 인증서 및 개인 키를 생성합니다.

certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>

기존 루트 인증서를 새 인증서로 교체합니다.
```
certool --rootca --cert <cert_file_path> --privkey <key_file_path>
```
명령은 인증서를 생성하여 vmdir에 추가하고 VECS에 추가합니다.

모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.

service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad

(선택 사항) 새 루트 인증서를 vmdir에 게시합니다.
```
dir-cli trustedcert publish --cert newRoot.crt
```
명령은 vmdir의 모든 인스턴스를 즉시 업데이트합니다. 명령을 실행하지 않으면 새 인증서를 모든 노드에 전파하는 데 상당한 시간이 소요될 수 있습니다.
모든 서비스를 다시 시작합니다.
```
service-control --start --all
```

예: 새 VMCA 서명 루트 인증서 생성

다음 예에서는 현재 루트 CA 정보를 확인하고 루트 인증서를 다시 생성하는 전체 단계를 보여 줍니다.

(선택 사항) vCenter Server에서 VMCA 루트 인증서를 나열하여 인증서 저장소에 있는지 확인합니다.

/usr/lib/vmware-vmca/bin/certool --getrootca

출력은 다음과 비슷합니다.

output:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
    ...

(선택 사항) VECS TRUSTED_ROOTS 저장소를 나열하고 여기의 인증서 일련 번호를 1단계의 출력과 비교합니다.

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS --text

루트 인증서가 하나만 있는 가장 간단한 경우 출력은 다음과 비슷합니다.

Number of entries in store :    1
Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
Entry type :    Trusted Cert
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af

새 VMCA 루트 인증서를 생성합니다. 명령은 인증서를 VECS 및 vmdir(VMware Directory Service)의 TRUSTED_ROOTS 저장소에 추가합니다.
```
/usr/lib/vmware-vmca/bin/certool --selfca --config=/usr/lib/vmware-vmca/share/config/certool.cfg
```