사용자 지정 인증서를 받은 후에는 각 시스템 인증서를 교체할 수 있습니다.

인증서 교체를 시작하기 전에 다음 정보를 준비해야 합니다.
  • [email protected]의 암호
  • 유효한 시스템 SSL 사용자 지정 인증서(.crt 파일)
  • 유효한 시스템 SSL 사용자 지정 키(.key 파일)
  • 루트에 대한 유효한 사용자 지정 인증서(.crt 파일)

사전 요구 사항

타사 또는 엔터프라이즈 CA로부터 각 시스템에 대한 인증서를 받은 상태여야 합니다.

  • 키 크기: 2048비트(최소)~16384비트(최대)(PEM 인코딩)
  • CRT 형식
  • x509 버전 3
  • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.
  • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화

프로시저

  1. 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  2. 각 노드에 로그인하여 CA에서 받은 새 시스템 인증서를 VECS에 추가합니다.
    모든 시스템은 SSL을 통해 통신하려면 로컬 인증서 저장소에 새 인증서가 필요합니다.
    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
    --key <key-file-path>
  3. Lookup Service 등록 끝점을 업데이트합니다.
    /usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user '[email protected]' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>
  4. 모든 서비스를 다시 시작합니다.
    service-control --start --all