인증서 요구 사항은 VMCA를 중간 CA로 사용하는지, 아니면 사용자 지정 인증서를 사용하는지에 따라 달라집니다. 시스템 인증서에 대한 요구 사항도 다릅니다.
시작하기 전에 환경의 모든 노드에서 시간이 동기화되는지 확인합니다.
가져온 모든 인증서에 대한 요구 사항
- 키 크기: 2048비트(최소)~16384비트(최대)(PEM 인코딩)
- PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.
- x509 버전 3
- SubjectAltName에는 DNS Name=machine_FQDN이 포함되어야 합니다.
- CRT 형식
- 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화
- vpxd-extension 솔루션 사용자 인증서를 제외하는 경우 확장 키 사용이 비어 있거나 서버 인증을 포함할 수 있습니다.
- 와일드카드가 있는 인증서.
- md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 및 sha1WithRSAEncryption 알고리즘은 지원되지 않습니다.
인증서의 RFC 2253 규정 준수
인증서는 RFC 2253 규정을 준수해야 합니다.
Certificate Manager를 사용하여 CSR을 생성하지 않는 경우 CSR에 다음 필드가 포함되어 있어야 합니다.
문자열 | X.500 특성 유형 |
---|---|
CN | commonName |
L | localityName |
ST | stateOrProvinceName |
O | organizationName |
OU | organizationalUnitName |
C | countryName |
STREET | streetAddress |
DC | domainComponent |
UID | userid |
- 연결하는 vCenter Single Sign-On 도메인의 관리자 또는 [email protected] 사용자의 암호
- Certificate Manager가 certool.cfg 파일에 저장하는 정보 대부분의 필드에서 기본값을 수락하거나 사이트별 값을 제공할 수 있습니다. 시스템의 FQDN은 필수 항목입니다.
- [email protected]의 암호
- 두 글자의 국가 코드
- 회사 이름
- 조직 이름
- 조직 구성 단위
- 상태
- 구/군/시
- IP 주소(선택 사항)
- 이메일
- 호스트 이름, 즉 인증서를 교체하려고 하는 시스템의 정규화된 도메인 이름. 호스트 이름이 FQDN과 일치하지 않으면 인증서 교체가 올바르게 완료되지 않으며 환경이 불안정한 상태가 될 수 있습니다.
- Certificate Manager를 실행하는 vCenter Server 노드의 IP 주소입니다.
VMCA를 중간 CA로 사용하는 경우의 요구 사항
인증서 유형 | 인증서 요구 사항 |
---|---|
루트 인증서 |
|
시스템 SSL 인증서 | vSphere Certificate Manager를 사용하여 CSR을 생성하거나 수동으로 CSR을 생성할 수 있습니다. CSR을 수동으로 생성하는 경우 앞의 "가져온 모든 인증서에 대한 요구 사항" 목록에 나온 요구 사항을 충족해야 합니다. 또한 호스트의 FQDN을 지정해야 합니다. |
솔루션 사용자 인증서 | vSphere Certificate Manager를 사용하여 CSR을 생성하거나 수동으로 CSR을 생성할 수 있습니다.
참고: 각 솔루션 사용자의 이름에 다른 값을 사용해야 합니다. 인증서를 수동으로 생성하는 경우 사용하는 도구에 따라
주체 아래에
CN으로 표시될 수 있습니다.
vSphere Certificate Manager를 사용하는 경우 각 솔루션 사용자에 대한 인증서 정보를 입력하라는 메시지가 표시됩니다. vSphere Certificate Manager가 이 정보를 certool.cfg에 저장합니다. "Certificate Manager에서 요청하는 정보" 를 참조하십시오. vpxd-extension 솔루션 사용자의 경우 확장 키 사용을 비워두거나 "TLS WWW 클라이언트 인증"을 사용할 수 있습니다. |
사용자 지정 인증서에 대한 요구 사항
인증서 유형 | 인증서 요구 사항 |
---|---|
시스템 SSL 인증서 | 각 노드의 시스템 SSL 인증서는 타사 또는 엔터프라이즈 CA에서 받은 별도의 인증서를 가져야 합니다.
|
솔루션 사용자 인증서 | 각 노드의 각 솔루션 사용자는 타사 또는 엔터프라이즈 CA에서 받은 별도의 인증서를 가져야 합니다.
이후에 솔루션 사용자 인증서를 사용자 지정 인증서로 교체하는 경우 타사 CA의 전체 서명 인증서 체인을 제공해야 합니다. vpxd-extension 솔루션 사용자의 경우 확장 키 사용을 비워두거나 "TLS WWW 클라이언트 인증"을 사용할 수 있습니다. |