vCenter Server STS(Security Token Service)는 보안 토큰을 발급, 검증 및 갱신하는 웹 서비스입니다.

토큰 발급자인 STS(Security Token Service)는 개인 키를 사용하여 토큰에 서명하고 서비스에 대한 공용 인증서를 게시하여 토큰 서명을 확인합니다. vCenter Server는 STS 서명 인증서를 관리하고 VMware Directory Service(vmdir)에 저장합니다. 토큰의 수명은 상당히 길 수 있고, 이전에는 여러 키 중 하나를 사용하여 서명이 가능했습니다.

사용자는 자신의 기본 자격 증명을 STS 인터페이스에 제공하여 토큰을 획득합니다. 기본 자격 증명은 사용자 유형에 따라 다릅니다.

표 1. STS 사용자 및 자격 증명
사용자 유형 기본 자격 증명
솔루션 사용자 유효한 인증서
기타 사용자 vCenter Single Sign-On ID 소스에서 사용할 수 있는 사용자 이름 및 암호

STS는 기본 자격 증명에 기반하여 사용자를 인증하고 사용자 특성이 포함된 SAML 토큰을 구성합니다.

기본적으로 VMCA(VMware Certificate Authority)는 STS 서명 인증서를 생성합니다. 새 VMCA 인증서를 사용하여 STS 서명 인증서를 새로 고칠 수 있습니다. 기본 STS 서명 인증서를 가져와서 사용자 지정 또는 타사 생성 STS 서명 인증서로 바꿀 수도 있습니다. 회사의 보안 정책에 따라 모든 인증서를 교체해야 하는 경우가 아니면 STS 서명 인증서를 교체하지 마십시오.

vSphere Client를 사용하여 다음을 수행할 수 있습니다.

  • STS 인증서 새로 고침
  • 사용자 지정 및 타사 생성 STS 인증서 가져오기 및 바꾸기
  • 만료 날짜와 같은 STS 인증서 세부 정보 보기

명령줄을 사용하여 사용자 지정 및 타사 생성 STS 인증서를 바꿀 수도 있습니다.

STS 인증서 기간 및 만료

vSphere 7.0 업데이트 1 이상을 새로 설치하면 기간이 10년인 STS 서명 인증서가 생성됩니다. STS 서명 인증서가 곧 만료되는 경우 90일 전부터 일주일에 한 번씩 경보가 표시되고 7일 이전부터는 매일 경보가 표시됩니다.

참고: 특정 상황에서 STS 서명 인증서를 교체하면 인증서 기간이 변경될 수 있습니다. 인증서 교체를 수행할 때는 발급 날짜와 만료 날짜에 주의를 기울여야 합니다.

STS 인증서 자동 갱신

vSphere 8.0 이상에서 vCenter Single Sign-On은 VMCA 생성 STS 서명 인증서를 자동으로 갱신합니다. 자동 갱신은 STS 서명 인증서가 만료되기 전과 90일 만료 경보가 트리거되기 전에 이루어집니다. 자동 갱신이 실패하면 vCenter Single Sign-On이 로그 파일에 오류 메시지를 생성합니다. 필요한 경우 STS 서명 인증서를 수동으로 새로 고칠 수 있습니다.

참고: vCenter Single Sign-On은 사용자 지정 생성 또는 타사 STS 서명 인증서의 자동 갱신을 수행하지 않습니다.

STS 인증서 새로 고침 및 가져오기 및 교체

vSphere 8.0 이상에서는 STS 서명 인증서를 새로 고치거나 가져와서 교체할 때 vCenter Server를 다시 시작할 필요가 없으므로 다운타임이 발생하지 않습니다. 또한 연결된 구성에서 단일 vCenter Server의 STS 서명 인증서를 새로 고치거나 가져와서 교체하면 연결된 모든 vCenter Server 시스템의 STS 인증서가 업데이트됩니다.

참고: 경우에 따라 STS 서명 인증서를 새로 고치거나 가져와서 교체하려면 vCenter Server 시스템을 수동으로 다시 시작해야 할 수 있습니다.

vSphere Client를 사용하여 vCenter Server STS 인증서 새로 고침

vSphere Client를 사용하여 vCenter Server STS 서명 인증서를 새로 고칠 수 있습니다. VMCA(VMware Certificate Authority)는 새 인증서를 발급하고 현재 인증서를 대체합니다.

STS 서명 인증서를 새로 고치면 VMCA(VMware Certificate Authority)에서 새 인증서가 발급되고 VMware Directory Service(vmdir)의 현재 인증서가 대체됩니다. STS는 새 인증서를 사용하여 새 토큰을 발급하기 시작합니다. 고급 연결 모드 구성에서 vmdir은 발급 vCenter Server 시스템의 새 인증서를 연결된 모든 vCenter Server 시스템에 업로드합니다. STS 서명 인증서를 새로 고치면 vCenter Server 시스템 그리고 고급 연결 모드 구성의 일부인 다른 vCenter Server 시스템을 다시 시작할 필요가 없습니다.

사용자 지정 생성 또는 타사 STS 서명 인증서를 사용하는 경우 새로 고침을 수행하면 해당 인증서를 VMCA 발급 인증서로 덮어씁니다. 사용자 지정 생성 또는 타사 STS 서명 인증서를 업데이트하려면 가져오기 및 바꾸기 옵션을 사용합니다. vSphere Client를 사용하여 vCenter Server STS 인증서 가져오기 및 바꾸기의 내용을 참조하십시오.

VMCA 발급 STS 서명 인증서는 10년간 유효하며 외부용 인증서가 아닙니다. 회사의 보안 정책에 따라 필요한 경우가 아니면 이 인증서를 교체하지 마십시오.

사전 요구 사항

인증서 관리를 이해 로컬 도메인(기본적으로 [email protected]) 관리자의 암호를 입력해야 합니다. 인증서를 갱신하는 경우에는 vCenter Server 시스템에 대한 관리자 권한이 있는 사용자의 vCenter Single Sign-On 자격 증명도 제공해야 합니다.

프로시저

  1. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  2. [email protected] 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.
    설치 시 다른 도메인을 지정한 경우에는 administrator@ mydomain으로 로그인합니다.
  3. 인증서 관리 UI로 이동합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. 인증서에서 인증서 관리를 클릭합니다.
  4. 시스템에 메시지가 표시되면 vCenter Server의 자격 증명을 입력합니다.
  5. STS 서명 탭에서 원하는 인증서를 선택하고 vCenter 인증서로 새로 고침을 클릭합니다.
    사용자 지정 생성 또는 타사 STS 서명 인증서를 사용하는 경우 새로 고침 작업을 수행하면 해당 인증서를 VMCA 생성 인증서로 덮어씁니다.
    참고: 규정 준수를 위해 타사 인증서를 사용하는 경우 새로 고침으로 인해 vCenter Server 시스템이 규정을 준수하지 못할 수 있습니다. 또한 사용자 지정 생성 또는 타사 STS 서명 인증서를 사용하는 경우 Security Token Service는 해당 사용자 지정 또는 타사 인증서를 토큰 서명에 더 이상 사용하지 않습니다.
  6. 새로 고침을 클릭합니다.
    VMCA는 이 vCenter Server 시스템 및 연결된 vCenter Server 시스템에서 STS 서명 인증서를 새로 고칩니다.
  7. (선택 사항) 강제 새로 고침 버튼이 나타나면 vCenter Single Sign-On이 문제를 감지한 것입니다. 강제 새로 고침을 클릭하기 전에 다음과 같은 잠재적 결과를 고려하십시오.
    • 영향을 받은 모든 vCenter Server 시스템에서 vSphere 7.0 업데이트 3 이상을 실행하지 않는 경우 인증서 새로 고침이 지원되지 않습니다.
    • 강제 새로 고침을 선택하면 모든 vCenter Server 시스템을 다시 시작해야 하며, 그렇게 할 때까지 해당 시스템이 작동하지 않을 수 있습니다.
    1. 영향이 확실하지 않은 경우 취소를 클릭하고 환경을 조사합니다.
    2. 영향이 확실하지 않은 경우 강제 새로 고침을 클릭하여 새로 고침을 진행한 다음 vCenter Server 시스템을 수동으로 다시 시작합니다.

vSphere Client를 사용하여 vCenter Server STS 인증서 가져오기 및 바꾸기

vSphere Client를 사용하여 vCenter Server STS 인증서를 가져오고 사용자 지정 생성 인증서 또는 타사 인증서로 교체할 수 있습니다.

기본 STS 서명 인증서를 가져오고 교체하려면 먼저 새 인증서를 생성해야 합니다. STS 서명 인증서를 가져오고 교체하면 VMware Directory Service(vmdir)는 발급 vCenter Server 시스템에서 연결된 모든 vCenter Server 시스템으로 새 인증서를 업로드합니다.

STS 인증서는 외부용 인증서가 아닙니다. 회사의 보안 정책에 따라 필요한 경우가 아니면 이 인증서를 교체하지 마십시오.

사전 요구 사항

인증서 관리를 이해 로컬 도메인(기본적으로 [email protected]) 관리자의 암호를 입력해야 합니다. 또한 vCenter Server 시스템에 대한 관리자 권한이 있는 사용자의 vCenter Single Sign-On 자격 증명을 제공해야 합니다.

프로시저

  1. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  2. [email protected] 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.
    설치 시 다른 도메인을 지정한 경우에는 administrator@ mydomain으로 로그인합니다.
  3. 인증서 관리 UI로 이동합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. 인증서에서 인증서 관리를 클릭합니다.
  4. 시스템에 메시지가 표시되면 vCenter Server의 자격 증명을 입력합니다.
  5. STS 서명 탭에서 원하는 인증서를 선택하고 인증서 가져오기 및 바꾸기를 클릭합니다.
  6. PEM 파일을 선택합니다.
    PEM 파일에는 서명 인증서 체인과 개인 키가 포함됩니다.
  7. 바꾸기를 클릭합니다.
    STS 서명 인증서는 이 vCenter Server 시스템 및 연결된 vCenter Server 시스템에서 교체됩니다. 달리 명시되지 않는 한 vCenter Server 시스템을 다시 시작할 필요가 없습니다.

명령줄을 사용하여 vCenter Server STS 인증서 교체

CLI를 사용하여 vCenter Server STS 인증서를 사용자 지정 생성 인증서 또는 타사 인증서로 교체할 수 있습니다.

회사의 필수 인증서를 사용하거나 곧 만료되는 인증서를 새로 고치려면 기존 STS 서명 인증서를 교체하면 됩니다. 기본 STS 서명 인증서를 교체하려면 먼저 새 인증서를 생성해야 합니다.

STS 인증서는 외부용 인증서가 아닙니다. 회사의 보안 정책에 따라 필요한 경우가 아니면 이 인증서를 교체하지 마십시오.

경고: 여기에 설명된 절차를 사용해야 합니다. 파일 시스템에서 직접 인증서를 교체하지 마십시오.

사전 요구 사항

vCenter Server에 대한 SSH 로그인을 사용하도록 설정합니다. vCenter Server 셸을 사용하여 vCenter Server 관리의 내용을 참조하십시오.

프로시저

  1. vCenter Server 셸에 루트로 로그인합니다.
  2. 인증서를 생성합니다.
    1. 새 인증서를 저장할 최상위 디렉토리를 생성하고 디렉토리의 위치를 확인합니다. 
      mkdir newsts
cd newsts
pwd 
#resulting output: /root/newsts
    2. certool.cfg 파일을 새 디렉토리에 복사합니다. 
      cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
    3. Vim과 같은 명령줄 편집기를 사용하여 certool.cfg 파일 사본을 열고, 로컬 vCenter Server IP 주소와 호스트 이름을 사용하도록 편집합니다. 국가는 필수 항목이며, 아래 예제에 나와 있는 대로 2자여야 합니다. 
      #
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local
    4. 키를 생성합니다. 
      /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
    5. 인증서를 생성합니다. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
    6. 인증서 체인과 개인 키를 사용하여 PEM 파일을 생성합니다. 
      cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
  3. 다음과 같이 STS 서명 인증서를 업데이트합니다. 
    /opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
    VMCA는 이 vCenter Server 시스템 및 연결된 vCenter Server 시스템에서 STS 서명 인증서를 새로 고칩니다.

vSphere Client를 사용하여 활성 vCenter Server STS 서명 인증서 체인 보기

vSphere Client를 사용하여 활성 vCenter Server STS 서명 인증서 체인 및 유효 기간 종료 날짜와 같은 인증서 정보를 볼 수 있습니다.

프로시저

  1. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  2. 최소한 읽기 권한이 있는 사용자의 사용자 이름과 암호를 입력합니다.
  3. 인증서 관리 UI로 이동합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. 인증서에서 인증서 관리를 클릭합니다.
  4. 시스템에 메시지가 표시되면 vCenter Server의 자격 증명을 입력합니다.
  5. STS서명 탭에서 인증서를 선택한 다음, 인증서를 확장합니다.
    다음을 비롯한 인증서 및 문제 정보가 표시됩니다.
    • 유효 기간 종료 날짜
    • 유효한 인증서를 나타내는 녹색 확인 표시 및 만료된 인증서에 대한 주의를 나타내는 주황색 확인 표시

명령줄을 사용하여 LDAPS SSL 인증서의 만료 날짜 확인

LDAP를 통한 Active Directory를 사용하는 경우 LDAP 트래픽에 대한 SSL 인증서를 업로드할 수 있습니다. SSL 인증서는 미리 지정한 기간이 지나면 만료됩니다. sso-config.sh 명령을 사용하여 인증서가 만료되기 전에 인증서를 교체 또는 갱신할 수 있도록 인증서의 만료 날짜를 볼 수 있습니다.

vCenter Server는 활성 LDAP SSL 인증서의 만료 날짜에 가까워질 때 경고 메시지를 표시합니다.

LDAP를 통한 Active Directory 또는 OpenLDAP ID 소스를 사용하고 서버에 ldaps:// URL을 지정한 경우에만 인증서 만료 정보가 표시됩니다.

사전 요구 사항

vCenter Server에 대한 SSH 로그인을 사용하도록 설정합니다. vCenter Server 셸을 사용하여 vCenter Server 관리의 내용을 참조하십시오.

프로시저

  1. vCenter Server에 루트로 로그인합니다.
  2. 다음 명령을 실행합니다. 
    /opt/vmware/bin/sso-config.sh -get_identity_sources

    SLF4J 메시지를 무시합니다.

  3. 만료 날짜를 확인하려면 SSL 인증서의 세부 정보를 살펴보고 NotAfter 필드를 확인합니다.