vSphere Authentication Proxy에서 사용자 지정 인증서를 사용하려면 몇 가지 단계를 수행해야 합니다. 먼저 CSR을 생성하고 CA에 보내 서명을 받습니다. 그런 다음 서명된 인증서와 키 파일을 vSphere Authentication Proxy에서 액세스할 수 있는 위치에 배치합니다.

기본적으로 vSphere Authentication Proxy는 처음 부팅 시 CSR을 생성하고 해당 CSR에 서명하도록 VMCA에 요청합니다. vSphere Authentication Proxy는 해당 인증서를 사용하여 vCenter Server에 등록합니다. 사용자 지정 인증서를 vCenter Server에 추가하면 이러한 인증서를 환경에서 사용할 수 있습니다.

프로시저

  1. vSphere Authentication Proxy용 CSR 생성
    1. 다음 예와 같이 구성 파일 /var/lib/vmware/vmcam/ssl/vmcam.cfg를 생성합니다. 
      [ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:dns.static-1.csl.vmware.com
[ req_distinguished_name ]
countryName = IE
stateOrProvinceName = Cork
localityName = Cork
0.organizationName = VMware
organizationalUnitName = vTSU
commonName = test-cam-1.test1.vmware.com
    2. openssl을 실행하여 CSR 파일과 키 파일을 생성하고 구성 파일에 전달합니다. 
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. 다음 위치에 저장된 rui.crt 인증서와 rui.key 파일을 백업합니다.
    /var/lib/vmware/vmcam/ssl/rui.crt
  3. vSphere Authentication Proxy 등록 취소
    1. camregister 스크립트가 있는 /usr/lib/vmware-vmcam/bin 디렉토리로 이동합니다.
    2. 다음 명령을 실행합니다. 
      camregister --unregister -a VC_address -u user
      uservCenter Server에 대한 관리자 사용 권한이 있는 vCenter Single Sign-On 사용자여야 합니다.
  4. vSphere Authentication Proxy 서비스를 중지합니다.
    도구 단계
    vCenter Server 구성 관리 인터페이스
    1. 웹 브라우저에서 vCenter Server 구성 관리 인터페이스 https://vcenter-IP-address-or-FQDN:5480으로 이동합니다.
    2. 루트로 로그인합니다.

      기본 루트 암호는 vCenter Server를 배포하는 중에 설정하는 암호입니다.

    3. 서비스를 클릭하고 VMware vSphere Authentication Proxy 서비스를 클릭합니다.
    4. 중지를 클릭합니다.
    CLI 
    service-control --stop vmcam
  5. 기존 rui.crt 인증서와 rui.key 파일을 CA에서 받은 파일로 교체합니다.
  6. vSphere Authentication Proxy 서비스를 다시 시작합니다.
  7. 새 인증서와 키를 사용해 vSphere Authentication Proxy를 vCenter Server에 명시적으로 재등록합니다. 
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key