VMCA(VMware인증 기관)는 인증서를 사용하여 환경을 프로비저닝합니다. 인증서에는 연결을 보호하기 위한 시스템 SSL 인증서, vCenter Single Sign-On에서 서비스를 인증하기 위한 솔루션 사용자 인증서 및 ESXi 호스트에 대한 인증서가 포함됩니다.

다음의 인증서가 사용됩니다.
표 1. vSphere의 인증서
인증서 프로비저닝됨 주석
ESXi 인증서 VMCA(기본값) ESXi 호스트에 로컬로 저장됩니다.
시스템 SSL 인증서 VMCA(기본값) VECS(VMware Endpoint 인증서 저장소)에 저장됩니다.
솔루션 사용자 인증서 VMCA(기본값) VECS에 저장됩니다.
vCenter Single Sign-On SSL 서명 인증서 설치 도중 프로비저닝됩니다. 명령줄에서 이 인증서를 관리합니다.
참고: 파일 시스템에서 이 인증서를 변경하지 마십시오. 변경할 경우 예기치 않은 동작이 발생합니다.
VMDIR(VMware Directory Service) SSL 인증서 설치 도중 프로비저닝됩니다. vSphere 6.5 이상에서 시스템 SSL 인증서가 vmdir 인증서로 사용됩니다.
SMS 자체 서명된 인증서 IOFilter 제공자 등록 도중 프로비저닝됩니다. vSphere 7.0 이상에서 SMS 자체 서명된 인증서는 /etc/vmware/ssl/iofiltervp_castore.pem에 저장됩니다. vSphere 7.0 이전에 SMS 자체 서명된 인증서는 /etc/vmware/ssl/castore.pem에 저장됩니다. 또한 SMS 저장소는 retainVasaProviderCertificate=True인 경우 VVOL VASA 제공자의 자체 서명된 인증서(버전 4.0 이하)도 저장할 수 있습니다.

ESXi 인증서

ESXi 인증서는 각 호스트의 /etc/vmware/ssl 디렉토리에 로컬로 저장됩니다. ESXi 인증서는 기본적으로 VMCA에 의해 프로비저닝되지만 사용자 지정 인증서를 대신 사용할 수 있습니다. ESXi 인증서는 호스트가 처음 vCenter Server에 추가될 때와 호스트가 다시 연결될 때 프로비저닝됩니다. 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.

시스템 SSL 인증서

각 노드의 시스템 SSL 인증서는 서버 측에서 SSL 소켓을 생성하는 데 사용됩니다. SSL 클라이언트는 SSL 소켓에 연결됩니다. 인증서는 서버 확인 및 HTTPS나 LDAPS와 같은 보안 통신에 사용됩니다.

vCenter Server 노드에는 고유한 시스템 SSL 인증서가 있습니다. vCenter Server 노드에서 실행되는 모든 서비스는 시스템 SSL 인증서를 사용하여 SSL 끝점을 표시합니다.

시스템 SSL 인증서를 사용하는 서비스는 다음과 같습니다.
  • 역방향 프록시 서비스. 개별 vCenter 서비스로의 SSL 연결은 항상 역방향 프록시로 이동합니다. 트래픽이 서비스 자체로 이동하지 않습니다.
  • vCenter Server 서비스(vpxd).
  • VMware Directory Service(vmdir).

VMware 제품은 표준 X.509 버전 3(X.509v3) 인증서를 사용하여 세션 정보를 암호화합니다. 세션 정보는 SSL을 통해 구성 요소 간에 전송됩니다.

솔루션 사용자 인증서

솔루션 사용자는 하나 이상의 vCenter Server 서비스를 캡슐화합니다. 각 솔루션 사용자는 vCenter Single Sign-On에 인증되어야 합니다. 솔루션 사용자는 인증서를 사용하여 SAML 토큰 교환을 통해 vCenter Single Sign-On에 인증됩니다.

솔루션 사용자는 처음 인증해야 할 때, 재부팅 후, 시간 제한 경과 후에 vCenter Single Sign-On에 인증서를 제출해야 합니다. 시간 제한(키 소유자 시간 제한)은 vSphere Client에서 설정할 수 있으며 기본값은 2592000초(30일)입니다.

예를 들어 vpxd 솔루션 사용자는 vCenter Single Sign-On에 연결할 때 vCenter Single Sign-On에 인증서를 제공합니다. 그러면 vpxd 솔루션 사용자는 vCenter Single Sign-On으로부터 SAML 토큰을 받고 이 토큰을 사용하여 다른 솔루션 사용자 및 서비스에 인증할 수 있습니다.

다음 솔루션 사용자 인증서 저장소는 VECS에 포함되어 있습니다.

  • machine: License Server 및 로깅 서비스에서 사용됩니다.
    참고: 이 시스템 솔루션 사용자 인증서는 시스템 SSL 인증서와 아무 관련이 없습니다. 이 시스템 솔루션 사용자 인증서는 SAML 토큰 교환에 사용되며 시스템 SSL 인증서는 시스템에 대한 보안 SSL 연결에 사용됩니다.
  • vpxd: vCenter 서비스 대몬(vpxd) 저장소. vpxd는 이 저장소에 저장된 솔루션 사용자 인증서를 사용하여 vCenter Single Sign-On에 인증합니다.
  • vpxd-extension: vCenter 확장 저장소입니다. Auto Deploy 서비스, Inventory Service를 비롯해 다른 솔루션 사용자의 일부가 아닌 기타 서비스가 포함됩니다.
  • vsphere-webclient: vSphere Client 저장소입니다. 성능 차트 서비스와 같은 일부 추가 서비스도 포함됩니다.
  • wcp: VMware Tanzu™ 저장소가 있는 VMware vSphere®. vSphere 클러스터 서비스에도 사용됩니다.

내부 인증서

vCenter Single Sign-On 인증서는 VECS에 저장되지 않으며 인증서 관리 도구로 관리되지 않습니다. 원칙적으로 변경이 불필요하지만 특별한 경우 이 인증서를 교체할 수 있습니다.
vCenter Single Sign-On 서명 인증서
vCenter Single Sign-On 서비스에는 vSphere를 통한 인증에 사용되는 SAML 토큰을 발급하는 ID 제공자 서비스가 포함됩니다. SAML 토큰은 사용자의 ID를 나타내며 그룹 멤버 자격 정보도 포함합니다. vCenter Single Sign-On이 SAML 토큰을 발급하는 경우 서명 인증서로 각 토큰에 서명하므로 vCenter Single Sign-On의 클라이언트가 SAML 토큰이 신뢰할 수 있는 소스로부터 전송되었는지 확인할 수 있습니다.
CLI에서 이 인증서를 교체할 수 있습니다. 명령줄을 사용하여 vCenter Server STS 인증서 교체의 내용을 참조하십시오.
VMware 디렉토리 서비스 SSL 인증서
vSphere 6.5 이상에서 시스템 SSL 인증서가 VMware 디렉토리 인증서로 사용됩니다. 이전 버전의 vSphere는 해당 설명서를 참조하십시오.
vSphere 가상 시스템 암호화 인증서
vSphere 가상 시스템 암호화 솔루션은 키 서버와 연결됩니다. 솔루션이 키 서버에 인증되는 방식에 따라 인증서가 생성되어 VECS에 저장될 수 있습니다. " vSphere 보안" 설명서를 참조하십시오.