vSphere Certificate Manager 유틸리티를 사용하여 모든 인증서를 사용자 지정 인증서로 교체할 수 있습니다. 프로세스를 시작하기 전에 CSR을 CA(인증 기관)로 보내야 합니다. Certificate Manager를 사용하여 CSR을 생성할 수 있습니다.

옵션 하나는 시스템 SSL 인증서만 교체하고 VMCA에서 프로비저닝하는 솔루션 사용자 인증서를 사용하는 것입니다. 솔루션 사용자 인증서는 vSphere 구성 요소 간 통신에만 사용됩니다.

사용자 지정 인증서를 사용할 때 VMCA 서명 인증서를 사용자 지정 인증서로 교체합니다. vSphere Client, vSphere Certificate Manager 유틸리티 또는 수동 인증서 교체를 위한 CLI를 사용할 수 있습니다. 인증서는 VECS에 저장됩니다.

모든 인증서를 사용자 지정 인증서로 교체하려면 vSphere Certificate Manager 유틸리티를 여러 번 실행해야 합니다. 시스템 SSL 인증서와 솔루션 사용자 인증서를 모두 교체하는 개략적인 단계는 다음과 같습니다.

  1. vSphere Certificate Manager 유틸리티를 시작합니다.
  2. 각 시스템에서 시스템 SSL 인증서 및 솔루션 사용자 인증서에 대한 인증서 서명 요청을 따로 생성합니다.
    1. 시스템 SSL 인증서에 대한 CSR을 생성하려면 옵션 1, [시스템 SSL 인증서를 사용자 지정 인증서로 교체]를 선택합니다. 옵션을 다시 묻는 메시지가 표시되면 옵션 1, [시스템 SSL 인증서에 대한 인증서 서명 요청 및 키 생성]을 선택합니다.
    2. 회사 정책이 하이브리드 배포를 허용하지 않는 경우 옵션 5, [솔루션 사용자 인증서를 사용자 지정 인증서로 교체]를 선택합니다.
  3. 외부 또는 엔터프라이즈 CA에 CSR을 제출합니다. CA에서 서명된 인증서 및 루트 인증서가 수신됩니다.
  4. CA에서 서명된 인증서 및 루트 인증서를 수신한 후 옵션 1, [시스템 SSL 인증서를 사용자 지정 인증서로 교체]를 사용하여 각 시스템에서 시스템 SSL 인증서를 교체합니다.
  5. 솔루션 사용자 인증서도 교체하려면 옵션 5, [솔루션 사용자 인증서를 사용자 지정 인증서로 교체]를 선택합니다.
  6. 마지막으로, 여러 vCenter Server 인스턴스가 고급 연결 모드 구성에서 연결된 경우에는 각 노드에서 프로세스를 반복합니다.

Certificate Manager를 사용하여 인증서 서명 요청 생성(사용자 지정 인증서)

vSphere Certificate Manager 유틸리티를 사용하여, 엔터프라이즈 CA에서 사용하거나 외부 인증 기관에 전송할 수 있는 CSR(인증서 서명 요청)을 생성할 수 있습니다. 지원되는 다른 인증서 교체 프로세스를 통해 인증서를 사용할 수 있습니다.

사전 요구 사항

vSphere Certificate Manager는 사용자에게 정보를 묻습니다. 묻는 정보는 해당 환경 및 사용자가 교체하려는 인증서의 유형에 따라 다릅니다.

  • CSR을 생성하는 경우 [email protected] 사용자의 암호나 연결되어 있는 vCenter Single Sign-On 도메인 관리자의 암호를 묻습니다.
  • vCenter Server의 호스트 이름 또는 IP주소를 묻는 메시지가 표시됩니다.
  • 시스템 SSL 인증서에 대한 CSR을 생성하는 경우 certool.cfg 파일에 저장되는 인증서 속성을 묻습니다. 대부분의 필드에서 기본값을 수락하거나 사이트별 값을 제공할 수 있습니다. 시스템의 FQDN은 필수 항목입니다.
    참고: vSphere 8.0 이상에서 vSphere Certificate Manager를 사용하여 CSR을 생성하는 경우 최소 키 크기가 2048비트에서 3072비트로 변경됩니다. vSphere 8.0 업데이트 1 이상에서는 vSphere Client를 사용하여 키 크기가 2048비트인 CSR을 생성합니다.
    참고: vSphere의 FIPS 인증서는 2048비트 및 3072비트의 RSA 키 크기만 검증합니다.

프로시저

  1. 환경의 각 vCenter Server(vCenter Server셸)에 로그인하고 vSphere Certificate Manager를 시작합니다. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 옵션 1, [시스템 SSL 인증서를 사용자 지정 인증서로 교체]를 선택합니다.
  3. 관리자 사용자 이름 및 암호를 입력합니다.
  4. 옵션 1, [시스템 SSL 인증서에 대한 인증서 서명 요청 및 키 생성]을 선택하여 CSR을 생성하고 메시지에 응답한 후 vSphere Certificate Manager를 종료합니다.
    해당 프로세스의 일부로, 디렉토리를 제공해야 합니다. vSphere Certificate Manager가 디렉토리에 인증서 및 키 파일을 배치합니다.
  5. 모든 솔루션 사용자 인증서도 교체하려면 vSphere Certificate Manager를 다시 시작하고 옵션 5, [솔루션 사용자 인증서를 사용자 지정 인증서로 교체]를 선택합니다.
  6. 메시지가 표시되면 암호 및 vCenter Server IP 주소 또는 호스트 이름을 제공합니다.
  7. 옵션 1, [솔루션 사용자 인증서에 대한 인증서 서명 요청 및 키 생성]을 선택하여 CSR을 생성하고 메시지에 응답한 후 vSphere Certificate Manager를 종료합니다.
    해당 프로세스의 일부로, 디렉토리를 제공해야 합니다. Certificate Manager가 디렉토리에 인증서 및 키 파일을 배치합니다.

다음에 수행할 작업

인증서 교체를 수행하려면 Certificate Manager를 사용하여 시스템 SSL 인증서를 사용자 지정 인증서로 교체의 내용을 참조하십시오.

Certificate Manager를 사용하여 시스템 SSL 인증서를 사용자 지정 인증서로 교체

vSphere Certificate Manager 유틸리티를 사용하여 각 노드의 시스템 SSL 인증서를 사용자 지정 인증서로 교체할 수 있습니다. 시스템 SSL 인증서는 모든 vCenter Server 노드에서 역방향 프록시 서비스가 사용합니다. 각 시스템마다 다른 서비스와의 보안 통신을 위한 시스템 SSL 인증서가 있어야 합니다.

사전 요구 사항

시작하기 전에 사용자 환경의 각 시스템에 대한 CSR이 필요합니다. vSphere Certificate Manager를 사용하거나 명시적으로 CSR을 생성할 수 있습니다.

  1. vSphere Certificate Manager를 사용하여 CSR을 생성하려면 Certificate Manager를 사용하여 인증서 서명 요청 생성(사용자 지정 인증서)을 참조하십시오.
  2. 명시적으로 CSR을 생성하려면 타사 또는 엔터프라이즈 CA에 각 시스템용 인증서를 요청합니다. 인증서는 다음 요구 사항을 충족해야 합니다.
    • 키 크기: 2048비트(최소)~8192비트(최대)(PEM 인코딩)
    • CRT 형식
    • x509 버전 3
    • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.
    • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화

VMware 기술 자료 문서(https://kb.vmware.com/s/article/2112014)인 'Microsoft CA(인증 기관)에서 vSphere 인증서 받기'를 참조하십시오.

프로시저

  1. vCenter Server에 로그인하고 vSphere Certificate Manager를 시작합니다. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 옵션 1, [시스템 SSL 인증서를 사용자 지정 인증서로 교체]를 선택합니다.
  3. 관리자 사용자 이름 및 암호를 입력합니다.
  4. 옵션 2, [사용자 지정 인증서 및 키를 가져와서 기존 시스템 SSL 인증서 교체]를 선택하여 인증서 교체를 시작하고 메시지에 응답합니다.
    vSphere Certificate Manager는 사용자에게 다음 정보를 묻습니다.
    • [email protected]의 암호
    • 유효한 시스템 SSL 사용자 지정 인증서(.crt 파일)
    • 유효한 시스템 SSL 사용자 지정 키(.key 파일)
    • 사용자 지정 시스템 SSL 인증서에 대한 유효한 서명 인증서(.crt 파일)
    • vCenter Server의 IP 주소

Certificate Manager를 사용하여 솔루션 사용자 인증서를 사용자 지정 인증서로 교체

대부분의 회사에서는 외부에서 액세스할 수 있는 서비스의 인증서만 교체하면 됩니다. 하지만 vSphere Certificate Manager 유틸리티는 솔루션 사용자 인증서를 교체하는 기능도 지원합니다. 솔루션 사용자는 서비스의 모음입니다. 예를 들어 vSphere Client와 연결된 모든 서비스입니다.

솔루션 사용자 인증서를 제공하라는 메시지가 표시되면 타사 CA의 전체 서명 인증서 체인을 제공합니다.

형식은 다음과 유사합니다. 
-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

사전 요구 사항

시작하기 전에 사용자 환경의 각 시스템에 대한 CSR이 필요합니다. vSphere Certificate Manager를 사용하거나 명시적으로 CSR을 생성할 수 있습니다.

  1. vSphere Certificate Manager를 사용하여 CSR을 생성하려면 Certificate Manager를 사용하여 인증서 서명 요청 생성(사용자 지정 인증서)을 참조하십시오.
  2. 타사 또는 엔터프라이즈 CA에서 각 노드의 솔루션 사용자별로 인증서를 요청합니다. vSphere Certificate Manager를 사용하여 CSR을 생성하거나 직접 준비할 수 있습니다. CSR은 다음 요구 사항을 충족해야 합니다.
    • 키 크기: 2048비트(최소)~8192비트(최대)(PEM 인코딩)
    • CRT 형식
    • x509 버전 3
    • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.

    • 각 솔루션 사용자 인증서마다 Subject가 서로 달라야 합니다. 예를 들어 솔루션 사용자 이름(예: vpxd) 또는 다른 고유한 ID를 포함하는 것을 고려하십시오.

    • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화

VMware 기술 자료 문서(http://kb.vmware.com/kb/2112014)인 'Microsoft CA(인증 기관)에서 vSphere 인증서 받기'를 참조하십시오.

프로시저

  1. vCenter Server에 로그인하고 vSphere Certificate Manager를 시작합니다. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 옵션 5, [솔루션 사용자 인증서를 사용자 지정 인증서로 교체]를 선택합니다.
  3. SSO 사용자 이름 및 암호를 입력합니다.
  4. 옵션 2, [사용자 지정 인증서 및 키를 가져와서 기존 솔루션 사용자 인증서 교체]를 선택하고 메시지에 응답합니다.
    vSphere Certificate Manager는 사용자에게 다음 정보를 묻습니다.
    • [email protected]의 암호
    • 시스템 솔루션 사용자의 인증서 및 키
    • 시스템 솔루션 사용자를 위한 인증서 및 키(vpxd.crtvpxd.key)
    • 모든 솔루션 사용자를 위한 전체 인증서 및 키 집합(vpxd.crtvpxd.key)