CLI를 사용하여 vCenter Server STS 인증서를 사용자 지정 생성 인증서 또는 타사 인증서로 교체할 수 있습니다.

회사의 필수 인증서를 사용하거나 곧 만료되는 인증서를 새로 고치려면 기존 STS 서명 인증서를 교체하면 됩니다. 기본 STS 서명 인증서를 교체하려면 먼저 새 인증서를 생성해야 합니다.

STS 인증서는 외부용 인증서가 아닙니다. 회사의 보안 정책에 따라 필요한 경우가 아니면 이 인증서를 교체하지 마십시오.

경고: 여기에 설명된 절차를 사용해야 합니다. 파일 시스템에서 직접 인증서를 교체하지 마십시오.

사전 요구 사항

vCenter Server에 대한 SSH 로그인을 사용하도록 설정합니다. vCenter Server 셸에서 vCenter Server 관리의 내용을 참조하십시오.

프로시저

  1. vCenter Server 셸에 루트로 로그인합니다.
  2. 인증서를 생성합니다.
    1. 새 인증서를 저장할 최상위 디렉토리를 생성하고 디렉토리의 위치를 확인합니다.
      mkdir newsts
      cd newsts
      pwd 
      #resulting output: /root/newsts
    2. certool.cfg 파일을 새 디렉토리에 복사합니다.
      cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
      
    3. Vim과 같은 명령줄 편집기를 사용하여 certool.cfg 파일 사본을 열고, 로컬 vCenter Server IP 주소와 호스트 이름을 사용하도록 편집합니다. 국가는 필수 항목이며, 아래 예제에 나와 있는 대로 2자여야 합니다.
      #
      # Template file for a CSR request
      #
      
      # Country is needed and has to be 2 characters
      Country = US
      Name = STS
      Organization = ExampleInc
      OrgUnit = ExampleInc Dev
      State = Indiana
      Locality = Indianapolis
      IPAddress = 10.0.1.32
      Email = [email protected]
      Hostname = homecenter.exampleinc.local
    4. 키를 생성합니다.
      /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
      
    5. 인증서를 생성합니다.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
      
    6. 인증서 체인과 개인 키를 사용하여 PEM 파일을 생성합니다.
      cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
  3. 다음과 같이 STS 서명 인증서를 업데이트합니다.
    /opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
  4. vCenter Server 시스템과 고급 연결 모드 구성의 일부인 기타 vCenter Server 시스템을 다시 시작합니다. "vCenter Server 구성" 설명서에서 vCenter Server를 재부팅하는 방법에 대한 항목을 참조하십시오.
    인증이 올바르게 작동하려면 vCenter Server를 다시 시작해야 합니다. STS 서비스와 vSphere Client가 모두 다시 시작됩니다.