다양한 솔루션 경로에 대한 인증서 요구 사항

인증서 요구 사항은 VMCA를 중간 CA로 사용하는지, 아니면 사용자 지정 인증서를 사용하는지에 따라 달라집니다. 시스템 인증서에 대한 요구 사항도 다릅니다.

시작하기 전에 환경의 모든 노드에서 시간이 동기화되는지 확인합니다.

참고: vSphere는 서버 인증을 위해 RSA 인증서만 배포하고 ECDSA 인증서 생성을 지원하지 않습니다. vSphere는 다른 서버에서 제공한 ECDSA 인증서를 확인합니다. 예를 들어 vSphere가 syslog 서버에 연결되고 syslog 서버에 ECDSA 인증서가 있는 경우 vSphere는 해당 인증서 확인을 지원합니다.

가져온 모든 인증서에 대한 요구 사항

키 크기: 2048비트(최소)~16384비트(최대)(PEM 인코딩)
PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.
x509 버전 3
SubjectAltName에는 DNS Name=machine_FQDN이 포함되어야 합니다.
CRT 형식
다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화
vpxd-extension 솔루션 사용자 인증서를 제외하는 경우 확장 키 사용이 비어 있거나 서버 인증을 포함할 수 있습니다.

vSphere는 다음 인증서를 지원하지 않습니다.

와일드카드가 있는 인증서.
md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 및 sha1WithRSAEncryption 알고리즘은 지원되지 않습니다.

인증서의 RFC 2253 규정 준수

인증서는 RFC 2253 규정을 준수해야 합니다.

Certificate Manager를 사용하여 CSR을 생성하지 않는 경우 CSR에 다음 필드가 포함되어 있어야 합니다.

문자열	X.500 특성 유형
CN	commonName
L	localityName
ST	stateOrProvinceName
O	organizationName
OU	organizationalUnitName
C	countryName
STREET	streetAddress
DC	domainComponent
UID	userid

Certificate Manager를 사용하여 CSR을 생성하는 경우 다음 정보를 묻는 메시지가 나타나며 Certificate Manager에서 해당 필드를 CSR 파일에 추가합니다.

연결하는 vCenter Single Sign-On 도메인의 관리자 또는 [email protected] 사용자의 암호
Certificate Manager가 certool.cfg 파일에 저장하는 정보 대부분의 필드에서 기본값을 수락하거나 사이트별 값을 제공할 수 있습니다. 시스템의 FQDN은 필수 항목입니다.
- [email protected]의 암호
- 두 글자의 국가 코드
- 회사 이름
- 조직 이름
- 조직 구성 단위
- 상태
- 구/군/시
- IP 주소(선택 사항)
- 이메일
- 호스트 이름, 즉 인증서를 교체하려고 하는 시스템의 정규화된 도메인 이름. 호스트 이름이 FQDN과 일치하지 않으면 인증서 교체가 올바르게 완료되지 않으며 환경이 불안정한 상태가 될 수 있습니다.
- Certificate Manager를 실행하는 vCenter Server 노드의 IP 주소입니다.

VMCA를 중간 CA로 사용하는 경우의 요구 사항

VMCA를 중간 CA로 사용하는 경우 인증서가 다음 요구 사항을 충족해야 합니다.


인증서 유형	인증서 요구 사항
루트 인증서	vSphere Certificate Manager를 사용하여 CSR을 생성할 수 있습니다. vSphere Certificate Manager를 사용하여 CSR 생성 및 루트 인증서(중간 CA) 준비의 내용을 참조하십시오. CSR을 수동으로 생성하려는 경우에는 서명을 위해 보내는 인증서가 다음 요구 사항을 충족해야 합니다. 키 크기: 2048비트(최소)~16384비트(최대)(PEM 인코딩) PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 해당 키가 PKCS8로 변환됩니다. x509 버전 3 루트 인증서에 대해 CA 확장을 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다. 예: basicConstraints = critical,CA:true keyUsage = critical,digitalSignature,keyCertSign CRL 서명을 사용하도록 설정해야 합니다. 확장 키 사용은 비워 두거나 서버 인증을 포함할 수 있습니다. 인증서 체인의 길이에 대한 명시적 제한이 없습니다. VMCA는 OpenSSL 기본값인 10개의 인증서를 사용합니다. 와일드카드 또는 2개 이상의 DNS 이름이 있는 인증서는 지원되지 않습니다. VMCA의 부수적인 CA를 생성할 수 없습니다. Microsoft CA(인증 기관)를 사용하는 예는 VMware 기술 자료 문서(http://kb.vmware.com/kb/2112009)인 'vSphere 6.x에서 SSL 인증서 생성에 사용할 Microsoft CA(인증 기관) 템플릿 생성'을 참조하십시오.
시스템 SSL 인증서	vSphere Certificate Manager를 사용하여 CSR을 생성하거나 수동으로 CSR을 생성할 수 있습니다. CSR을 수동으로 생성하는 경우 앞의 "가져온 모든 인증서에 대한 요구 사항" 목록에 나온 요구 사항을 충족해야 합니다. 또한 호스트의 FQDN을 지정해야 합니다.
솔루션 사용자 인증서	vSphere Certificate Manager를 사용하여 CSR을 생성하거나 수동으로 CSR을 생성할 수 있습니다. 참고: 각 솔루션 사용자의 이름에 다른 값을 사용해야 합니다. 인증서를 수동으로 생성하는 경우 사용하는 도구에 따라 주체 아래에 CN으로 표시될 수 있습니다. vSphere Certificate Manager를 사용하는 경우 각 솔루션 사용자에 대한 인증서 정보를 입력하라는 메시지가 표시됩니다. vSphere Certificate Manager가 이 정보를 certool.cfg에 저장합니다. "Certificate Manager에서 요청하는 정보" 를 참조하십시오. vpxd-extension 솔루션 사용자의 경우 확장 키 사용을 비워두거나 "TLS WWW 클라이언트 인증"을 사용할 수 있습니다.

사용자 지정 인증서에 대한 요구 사항

사용자 지정 인증서를 사용하려면 인증서가 다음 요구 사항을 충족해야 합니다.


인증서 유형	인증서 요구 사항
시스템 SSL 인증서	각 노드의 시스템 SSL 인증서는 타사 또는 엔터프라이즈 CA에서 받은 별도의 인증서를 가져야 합니다. vSphere Client 또는 vSphere Certificate Manager를 사용하여 CSR을 생성하거나 CSR을 수동으로 생성할 수 있습니다. CSR은 앞의 "가져온 모든 인증서에 대한 요구 사항" 목록에 나온 요구 사항을 충족해야 합니다. 대부분의 필드에서 기본값을 수락하거나 사이트별 값을 제공할 수 있습니다. 시스템의 FQDN은 필수 항목입니다.
솔루션 사용자 인증서	각 노드의 각 솔루션 사용자는 타사 또는 엔터프라이즈 CA에서 받은 별도의 인증서를 가져야 합니다. vSphere Certificate Manager를 사용하여 CSR을 생성하거나 직접 준비할 수 있습니다. CSR은 앞의 "가져온 모든 인증서에 대한 요구 사항" 목록에 나온 요구 사항을 충족해야 합니다. vSphere Certificate Manager를 사용하는 경우 각 솔루션 사용자에 대한 인증서 정보를 입력하라는 메시지가 표시됩니다. vSphere Certificate Manager가 이 정보를 certool.cfg에 저장합니다. "Certificate Manager에서 요청하는 정보" 를 참조하십시오. 참고: 각 솔루션 사용자의 이름에 다른 값을 사용해야 합니다. 수동으로 생성된 인증서는 사용하는 도구에 따라 주체 아래에 CN으로 표시될 수 있습니다. 이후에 솔루션 사용자 인증서를 사용자 지정 인증서로 교체하는 경우 타사 CA의 전체 서명 인증서 체인을 제공해야 합니다. vpxd-extension 솔루션 사용자의 경우 확장 키 사용을 비워두거나 "TLS WWW 클라이언트 인증"을 사용할 수 있습니다.