사용자 지정 인증서를 받은 후에는 각 시스템 인증서를 교체할 수 있습니다.
인증서 교체를 시작하기 전에 다음 정보를 준비해야 합니다.
- [email protected]의 암호
- 유효한 시스템 SSL 사용자 지정 인증서(.crt 파일)
- 유효한 시스템 SSL 사용자 지정 키(.key 파일)
- 루트에 대한 유효한 사용자 지정 인증서(.crt 파일)
사전 요구 사항
타사 또는 엔터프라이즈 CA로부터 각 시스템에 대한 인증서를 받은 상태여야 합니다.
- 키 크기: 2048비트(최소)~16384비트(최대)(PEM 인코딩)
- CRT 형식
- x509 버전 3
- SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.
- 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화
프로시저
- 모든 서비스를 중지하고 인증서 생성, 전파 및 저장을 처리하는 서비스를 시작합니다.
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- 각 노드에 로그인하여 CA에서 받은 새 시스템 인증서를 VECS에 추가합니다.
모든 시스템은 SSL을 통해 통신하려면 로컬 인증서 저장소에 새 인증서가 필요합니다.
vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>
- Lookup Service 등록 끝점을 업데이트합니다.
/usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user '[email protected]' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>
- 모든 서비스를 다시 시작합니다.
service-control --start --all
