vSphere Certificate Manager를 사용하여 CSR(인증서 서명 요청)을 생성할 수 있습니다. 서명을 위해 이러한 CSR을 엔터프라이즈 CA 또는 외부 CA(인증 기관)에 제출합니다. 지원되는 다른 인증서 교체 프로세스를 통해 서명된 인증서를 사용할 수 있습니다.

  • vSphere Certificate Manager를 사용하여 CSR을 생성할 수 있습니다.
  • CSR을 수동으로 생성하려는 경우에는 서명을 위해 보내는 인증서가 다음 요구 사항을 충족해야 합니다.
    • 키 크기: 2048비트(최소)~16384비트(최대)(PEM 인코딩)
    • PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 해당 키가 PKCS8로 변환됩니다.
    • x509 버전 3
    • 루트 인증서에 대해 CA 확장을 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다. 예:
      basicConstraints        = critical,CA:true
      keyUsage                = critical,digitalSignature,keyCertSign
    • CRL 서명을 사용하도록 설정해야 합니다.
    • 확장 키 사용은 비워 두거나 서버 인증을 포함할 수 있습니다.
    • 인증서 체인의 길이에 대한 명시적 제한이 없습니다. VMCA는 OpenSSL 기본값인 10개의 인증서를 사용합니다.
    • 와일드카드 또는 2개 이상의 DNS 이름이 있는 인증서는 지원되지 않습니다.
    • VMCA의 부수적인 CA를 생성할 수 없습니다.

      Microsoft CA(인증 기관)를 사용하는 예는 VMware 기술 자료 문서(http://kb.vmware.com/kb/2112009)인 'vSphere 6.x에서 SSL 인증서 생성에 사용할 Microsoft CA(인증 기관) 템플릿 생성'을 참조하십시오.

사전 요구 사항

vSphere Certificate Manager는 사용자에게 정보를 묻습니다. 묻는 정보는 해당 환경 및 사용자가 교체하려는 인증서의 유형에 따라 다릅니다.

CSR을 생성하는 경우 [email protected] 사용자의 암호나 연결되어 있는 vCenter Single Sign-On 도메인 관리자의 암호를 묻습니다.

프로시저

  1. vSphere Certificate Manager를 실행합니다.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 옵션 2를 선택합니다.
    처음에는 이 옵션을 인증서를 교체하지 않고 CSR을 생성하는 데 사용합니다.
  3. 메시지가 표시되면 암호 및 vCenter Server IP 주소 또는 호스트 이름을 제공합니다.
  4. 옵션 1을 선택하여 CSR을 생성하고 질문에 대답합니다.
    해당 프로세스의 일부로, 디렉토리를 제공해야 합니다. Certificate Manager는 서명할 인증서( *.csr 파일)와 해당 키 파일( *.key 파일)을 디렉토리에 배치합니다.
  5. CSR(인증서 서명 요청)의 이름을 root_signing_cert.csr로 지정합니다.
  6. 서명을 위해 CSR을 엔터프라이즈 또는 외부 CA로 보내고 서명된 인증서의 이름을 root_signing_cert.cer로 지정합니다.
  7. 텍스트 편집기에서 인증서를 다음과 같이 결합합니다.
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  8. 파일을 root_signing_chain.cer로 저장합니다.

다음에 수행할 작업

기존 루트 인증서를 체인 루트 인증서로 교체합니다. 사용자 지정 서명 인증서로 VMCA 루트 인증서 교체 및 모든 인증서 교체의 내용을 참조하십시오.