VMware Certificate Authority 인증서를 사용하는 환경

VMCA(VMware Certificate Authority)는 모든 인증서 관리를 처리할 수 있습니다. VMCA는 VMCA를 루트 인증 기관으로 사용하는 인증서로 vCenter Server 구성 요소와 ESXi 호스트를 프로비저닝합니다. 이전 버전의 vSphere에서 vSphere 6.0 이상으로 업그레이드 중인 경우에는 자체 서명된 모든 인증서가 VMCA에 의해 서명된 인증서로 교체됩니다.

VMware 인증서를 현재 교체하지 않으면 사용자 환경에서는 자체 서명된 인증서 대신 VMCA 서명 인증서를 사용하기 시작합니다.

사용자 지정 인증서를 사용하는 환경

회사 정책에 따라 타사 또는 엔터프라이즈 CA(인증 기관)에서 서명하거나, 사용자 지정 인증서 정보가 필요한 인증서를 사용해야 하는 경우에는 몇 가지 방법으로 새로 설치할 수 있습니다.

• 타사 CA 또는 엔터프라이즈 CA에서 VMCA 루트 인증서에 서명하도록 합니다. 이 서명된 인증서로 VMCA 루트 인증서를 교체합니다. 이 시나리오에서는 VMCA 인증서가 중간 인증서입니다. VMCA는 전체 인증서 체인이 포함된 인증서로 vCenter Server 구성 요소와 ESXi 호스트를 프로비저닝합니다.
• 회사 정책에 따라 체인에 중간 인증서가 허용되지 않는 경우에는 인증서를 명시적으로 교체할 수 있습니다. vSphere Client 또는 vSphere Certificate Manager 유틸리티를 사용하거나 인증서 관리 CLI를 사용한 수동 인증서 교체를 수행할 수 있습니다.

사용자 지정 인증서를 사용하는 환경을 업그레이드할 때는 일부 인증서를 유지할 수 있습니다.

• ESXi 호스트는 업그레이드 중 자체 사용자 지정 인증서를 유지합니다. vCenter Server 업그레이드 프로세스에서 모든 관련 루트 인증서를 vCenter Server에서 VECS(VMware Certificate Endpoint Store)의 TRUSTED_ROOTS 저장소에 추가해야 합니다.

  vSphere 6.0 이상으로 업그레이드한 후 인증서 모드를 사용자 지정으로 설정할 수 있습니다. 인증서 모드가 VMCA(기본값)이고 사용자가 vSphere Client에서 인증서 새로 고침을 수행하면 VMCA 서명 인증서가 사용자 지정 인증서를 교체합니다.

• 단순 vCenter Server 설치를 내장형 배포로 업그레이드할 경우 vCenter Server에서는 사용자 지정 인증서를 보존합니다. 업그레이드 후 환경은 이전처럼 작동합니다. 기존 vCenter Server 및 vCenter Single Sign-On 인증서가 보존됩니다. 인증서는 시스템 SSL 인증서로 사용됩니다. 또한 VMCA는 VMCA 서명 인증서를 각 솔루션 사용자(vCenter 서비스 모음)에게 할당합니다. 솔루션 사용자는 이 인증서를 vCenter Single Sign-On에 인증하는 데만 사용합니다. VMware는 솔루션 사용자 인증서를 교체하는 것을 권장하지 않습니다.

vSphere 인증서 인터페이스

ESXi의 경우 vSphere Client에서 인증서 관리를 수행합니다. VMCA가 인증서를 프로비저닝하고 ESXi 호스트에 로컬로 저장합니다. VMCA는 ESXi 호스트 인증서를 VMDIR 또는 VECS에 저장하지 않습니다. "vSphere 보안" 설명서를 참조하십시오.

지원되는 vCenter Server 인증서

vCenter Server 및 관련 시스템과 서비스의 경우 다음 인증서가 지원됩니다.

• VMCA(VMware Certificate Authority)에서 생성하고 서명한 인증서.
• 사용자 지정 인증서.
  • 자체 내부 PKI에서 생성된 엔터프라이즈 인증서.
  • Verisign, GoDaddy 등과 같은 외부 PKI가 생성한 타사 CA 서명 인증서.

루트 CA 없이 OpenSSL을 사용하여 생성된 자체 서명 인증서는 지원되지 않습니다.