vSphere 인증서 인프라를 설정하거나 업데이트하는 데 필요한 작업은 사용자 환경의 요구 사항에 따라 다릅니다. 새로 설치를 수행할지 아니면 업그레이드를 수행할지 그리고 ESXi 또는 vCenter Server를 고려할지 여부를 고려해야 합니다.
VMware Certificate Authority 인증서를 사용하는 환경
VMCA(VMware Certificate Authority)는 모든 인증서 관리를 처리할 수 있습니다. VMCA는 VMCA를 루트 인증 기관으로 사용하는 인증서로 vCenter Server 구성 요소와 ESXi 호스트를 프로비저닝합니다. 이전 버전의 vSphere에서 vSphere 6.0 이상으로 업그레이드 중인 경우에는 자체 서명된 모든 인증서가 VMCA에 의해 서명된 인증서로 교체됩니다.
VMware 인증서를 현재 교체하지 않으면 사용자 환경에서는 자체 서명된 인증서 대신 VMCA 서명 인증서를 사용하기 시작합니다.
사용자 지정 인증서를 사용하는 환경
회사 정책에 따라 타사 또는 엔터프라이즈 CA(인증 기관)에서 서명하거나, 사용자 지정 인증서 정보가 필요한 인증서를 사용해야 하는 경우에는 몇 가지 방법으로 새로 설치할 수 있습니다.
- 타사 CA 또는 엔터프라이즈 CA에서 VMCA 루트 인증서에 서명하도록 합니다. 이 서명된 인증서로 VMCA 루트 인증서를 교체합니다. 이 시나리오에서는 VMCA 인증서가 중간 인증서입니다. VMCA는 전체 인증서 체인이 포함된 인증서로 vCenter Server 구성 요소와 ESXi 호스트를 프로비저닝합니다.
- 회사 정책에 따라 체인에 중간 인증서가 허용되지 않는 경우에는 인증서를 명시적으로 교체할 수 있습니다. vSphere Client 또는 vSphere Certificate Manager 유틸리티를 사용하거나 인증서 관리 CLI를 사용한 수동 인증서 교체를 수행할 수 있습니다.
사용자 지정 인증서를 사용하는 환경을 업그레이드할 때는 일부 인증서를 유지할 수 있습니다.
- ESXi 호스트는 업그레이드 중 자체 사용자 지정 인증서를 유지합니다. vCenter Server 업그레이드 프로세스에서 모든 관련 루트 인증서를 vCenter Server에서 VECS(VMware Certificate Endpoint Store)의 TRUSTED_ROOTS 저장소에 추가해야 합니다.
vSphere 6.0 이상으로 업그레이드한 후 인증서 모드를 사용자 지정으로 설정할 수 있습니다. 인증서 모드가 VMCA(기본값)이고 사용자가 vSphere Client에서 인증서 새로 고침을 수행하면 VMCA 서명 인증서가 사용자 지정 인증서를 교체합니다.
- 단순 vCenter Server 설치를 내장형 배포로 업그레이드할 경우 vCenter Server에서는 사용자 지정 인증서를 보존합니다. 업그레이드 후 환경은 이전처럼 작동합니다. 기존 vCenter Server 및 vCenter Single Sign-On 인증서가 보존됩니다. 인증서는 시스템 SSL 인증서로 사용됩니다. 또한 VMCA는 VMCA 서명 인증서를 각 솔루션 사용자(vCenter 서비스 모음)에게 할당합니다. 솔루션 사용자는 이 인증서를 vCenter Single Sign-On에 인증하는 데만 사용합니다. VMware는 솔루션 사용자 인증서를 교체하는 것을 권장하지 않습니다.
vSphere 인증서 인터페이스
인터페이스 | 사용 |
---|---|
vSphere Client | 그래픽 사용자 인터페이스를 사용하여 일반적인 인증서 작업을 수행합니다. |
vSphere Automation API | "VMware vSphere Automation SDK 프로그래밍 가이드" 를 참조하십시오. |
vSphere Certificate Manager 유틸리티 | vCenter Server 설치의 명령줄에서 일반적인 인증서 교체 작업을 수행합니다. |
vSphere 인증서 관리 CLI | dir-cli, certool 및 vecs-cli를 사용하여 모든 인증서 관리 작업을 수행합니다. |
sso-config 유틸리티 | vCenter Server 설치의 명령줄에서 STS 인증서 관리를 수행합니다. |
PowerCLI 12.4 이상(vSphere 7.0 이상 필요) | 신뢰할 수 있는 인증서 저장소 관리를 수행하고 vCenter Server 시스템 SSL 인증서와 ESXi 시스템 SSL 인증서를 관리합니다. |
ESXi의 경우 vSphere Client에서 인증서 관리를 수행합니다. VMCA가 인증서를 프로비저닝하고 ESXi 호스트에 로컬로 저장합니다. VMCA는 ESXi 호스트 인증서를 VMDIR 또는 VECS에 저장하지 않습니다. "vSphere 보안" 설명서를 참조하십시오.
지원되는 vCenter Server 인증서
vCenter Server 및 관련 시스템과 서비스의 경우 다음 인증서가 지원됩니다.
- VMCA(VMware Certificate Authority)에서 생성하고 서명한 인증서.
- 사용자 지정 인증서.
- 자체 내부 PKI에서 생성된 엔터프라이즈 인증서.
- Verisign, GoDaddy 등과 같은 외부 PKI가 생성한 타사 CA 서명 인증서.
루트 CA 없이 OpenSSL을 사용하여 생성된 자체 서명 인증서는 지원되지 않습니다.