vSphere는 인증서를 사용하여 통신을 암호화하고 서비스를 인증하며 토큰에 서명하여 보안을 제공합니다.
- vCenter Server 및 ESXi 호스트와 같은 두 노드 간의 통신을 암호화합니다.
- vSphere 서비스를 인증합니다.
- 토큰 서명과 같은 내부 작업을 수행합니다.
vSphere의 내부 인증 기관인 VMCA(VMware Certificate Authority)는 vCenter Server 및 ESXi에 필요한 모든 인증서를 제공합니다. VMCA는 모든 vCenter Server 호스트에 설치되며 다른 수정을 할 필요 없이 솔루션을 즉시 보호합니다. 이 기본 구성을 유지할 경우 인증서 관리의 운영 오버헤드가 가장 낮습니다. vSphere는 이러한 인증서가 만료될 때마다 인증서를 갱신하는 메커니즘을 제공합니다.
또한 vSphere는 특정 인증서를 사용자 고유의 인증서로 교체하는 메커니즘을 제공합니다. 하지만 인증서 관리 오버헤드를 최소화하려면 노드 간에서 암호화를 제공하는 SSL 인증서만 교체하십시오.
인증서 관리에는 다음과 같은 옵션이 권장됩니다.
| 모드 | 설명 | 장점 |
|---|---|---|
| VMCA 기본 인증서 | VMCA는 vCenter Server 및 ESXi 호스트를 위한 모든 인증서를 제공합니다. | 가장 간단하고 오버헤드 가장 적습니다. VMCA는 vCenter Server 및 ESXi 호스트에 대한 인증서 수명 주기를 관리합니다. |
| VMCA 기본 인증서와 외부 SSL 인증서(하이브리드 모드) | vCenter Server SSL 인증서를 교체하고, VMCA가 솔루션 사용자 및 ESXi 호스트의 인증서를 관리하게 할 수 있습니다. 필요한 경우 보안이 중요한 배포에서 ESXi 호스트 SSL 인증서를 교체할 수 있습니다. | 간단하고 안전합니다. VMCA가 내부 인증서를 관리하지만 사용자는 회사에서 승인한 SSL 인증서를 사용하고 브라우저에서 이러한 인증서를 신뢰하게 하는 이점을 누릴 수 있습니다. |
VMware는 솔루션 사용자 인증서 또는 STS 인증서를 교체하거나 VMCA 대신 하위 CA를 사용하는 것을 권장하지 않습니다. 이러한 옵션 중 하나를 선택하면 상당히 복잡한 문제가 발생할 수 있어 보안에 부정적인 영향을 미칠 수 있으며 운영 위험이 불필요하게 증가할 수 있습니다. vSphere 환경의 인증서 관리에 대한 자세한 내용은 http://vmware.com/go/hybridvmca에서 블로그 게시글 "New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement(신제품 둘러보기 - 하이브리드 vSphere SSL 인증서 교체)" 를 참조하십시오.
다음 옵션을 사용하여 기존 인증서를 교체할 수 있습니다.
| 옵션 | 자세한 내용은 |
|---|---|
| vSphere Client를 사용합니다. | vSphere Client를 사용하여 인증서 관리 |
| vSphere Automation API를 사용하여 인증서의 수명 주기를 관리합니다. | "VMware vSphere Automation SDK 프로그래밍 가이드" |
| 명령줄에서 vSphere Certificate Manager 유틸리티를 사용합니다. | vSphere Certificate Manager 유틸리티를 사용하여 인증서 관리 |
| CLI 명령을 사용하여 수동으로 인증서를 교체합니다. | CLI 명령을 사용하여 서비스 및 인증서 관리 |
