엔터프라이즈 또는 타사 CA의 사용자 지정 인증서를 사용할 수 있습니다. 첫 번째 단계는 CA(인증 기관)의 인증서를 요청하고 루트 인증서를 VECS(VMware Endpoint Certificate Store)로 가져오는 것입니다.
사전 요구 사항
인증서는 다음 요구 사항을 충족해야 합니다.
- 키 크기: 2048비트(최소)~16384비트(최대)(PEM 인코딩)
- PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.
- x509 버전 3
- 루트 인증서의 경우 CA 확장을 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다.
- SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.
- CRT 형식
- 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화
- 현재 시간 하루 전 시작 시간
- ESXi 호스트가 vCenter Server 인벤토리에 가지고 있는 호스트 이름(또는 IP 주소)으로 설정된 CN (및 SubjectAltName).
프로시저
- 다음 인증서에 대한 CSR(인증서 서명 요청)을 엔터프라이즈 또는 타사 인증서 제공자에게 보냅니다.
- 각 시스템에 대한 시스템 SSL 인증서. 시스템 SSL 인증서의 경우 SubjectAltName 필드에는 정규화된 도메인 이름(DNS NAME=machine_FQDN)이 포함되어야 합니다.
- 필요한 경우 각 노드에 대한 5개의 솔루션 사용자 인증서. 솔루션 사용자 인증서에는 IP 주소, 호스트 이름 또는 이메일 주소가 포함되지 않아도 됩니다. 각 인증서의 인증서 주체가 서로 달라야 합니다.
일반적으로 신뢰할 수 있는 체인에 대한 PEM 파일과 각 vCenter Server 노드에 대한 서명된 SSL 인증서가 결과로 반환됩니다.
- TRUSTED_ROOTS 및 시스템 SSL 저장소를 나열합니다.
- 현재 루트 인증서 및 모든 시스템 SSL 인증서가 VMCA에 의해 서명되었는지 확인합니다.
- 일련 번호, 발급자 및 주체 CN 필드를 기록해 둡니다.
- (선택 사항) 웹 브라우저를 사용하여 인증서를 교체할 노드에 대한 HTTPS 연결을 열고 인증서 정보를 살펴보고 시스템 SSL 인증서와 일치하는지 확인합니다.
- 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- 사용자 지정 루트 인증서를 게시합니다.
dir-cli trustedcert publish --cert <my_custom_root>
명령줄에서 사용자 이름과 암호를 지정하지 않으면 이를 묻는 메시지가 나타납니다.
- 모든 서비스를 다시 시작합니다.
service-control --start --all
다음에 수행할 작업
회사 정책에 따라 필요한 경우 원래 VMCA 루트 인증서를 인증서 저장소에서 제거할 수 있습니다. 그렇게 하는 경우 vCenter Single Sign-On 인증서를 새로 고쳐야 합니다. 명령줄을 사용하여 vCenter Server STS 인증서 교체의 내용을 참조하십시오.