vSphere Certificate Manager 유틸리티를 사용하여 VMCA를 중간 CA로 만들 수 있습니다. 해당 프로세스를 완료한 후 VMCA가 전체 체인으로 모든 새 인증서에 서명합니다. 원하는 경우 vSphere Certificate Manager를 사용하여 모든 기존 인증서를 새 VMCA 서명 인증서로 교체할 수 있습니다.

VMCA를 중간 CA로 만들려면 vSphere Certificate Manager를 여러 번 실행해야 합니다. 시스템 SSL 인증서와 솔루션 사용자 인증서를 모두 교체하는 개략적인 단계는 다음과 같습니다.

  1. vSphere Certificate Manager 유틸리티를 시작합니다.
  2. 옵션 2, [사용자 지정 서명 인증서로 VMCA 루트 인증서 교체 및 모든 인증서 교체]를 실행하여 CSR을 생성합니다. 다음에 인증서에 대한 일부 정보를 제공해야 할 수 있습니다. 옵션을 다시 묻는 메시지가 표시되면 옵션 1, [VMCA 루트 서명 인증서에 대한 인증서 서명 요청 및 키 생성]을 선택합니다.
  3. 외부 또는 엔터프라이즈 CA에 CSR을 제출합니다. CA에서 서명된 인증서 및 루트 인증서가 수신됩니다.
  4. VMCA 루트 인증서를 CA 루트 인증서와 결합하고 파일을 저장합니다.
  5. 옵션 2, [사용자 지정 서명 인증서로 VMCA 루트 인증서 교체 및 모든 인증서 교체]를 실행하여 인증서를 교체한 후 다음 메시지를 따릅니다. 이 프로세스는 로컬 시스템의 모든 인증서를 교체합니다.
  6. (선택 사항) 고급 연결 모드 구성에서 여러 vCenter Server 인스턴스가 연결된 경우 다음 단계를 수행하여 각 노드에서 인증서를 교체합니다.
    1. 우선 시스템 SSL 인증서를 새 VMCA 인증서로 교체합니다(옵션 3, [VMCA 인증서로 시스템 SSL 인증서 교체]).
    2. 그런 다음 솔루션 사용자 인증서를 새 VMCA 인증서로 교체합니다(옵션 6, [솔루션 사용자 인증서를 VMCA 인증서로 교체]).

Certificate Manager를 사용하여 CSR 생성 및 루트 인증서(중간 CA) 준비

vSphere Certificate Manager 유틸리티를 사용하여 CSR(인증서 서명 요청)을 생성할 수 있습니다. 서명을 위해 이러한 CSR을 엔터프라이즈 CA 또는 외부 CA(인증 기관)에 제출합니다. 지원되는 다른 인증서 교체 프로세스를 통해 서명된 인증서를 사용할 수 있습니다.

  • vSphere Certificate Manager를 사용하여 CSR을 생성할 수 있습니다.
    참고: vSphere 8.0 이상에서 vSphere Certificate Manager를 사용하여 CSR을 생성하는 경우 최소 키 크기가 2048비트에서 3072비트로 변경됩니다. vSphere 8.0 업데이트 1 이상에서는 vSphere Client를 사용하여 키 크기가 2048비트인 CSR을 생성합니다.
    참고: vSphere의 FIPS 인증서는 2048비트 및 3072비트의 RSA 키 크기만 검증합니다.
  • CSR을 수동으로 생성하려는 경우에는 서명을 위해 보내는 인증서가 다음 요구 사항을 충족해야 합니다.
    • 키 크기: 2048비트(최소)~8192비트(최대)(PEM 인코딩)
    • PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 해당 키가 PKCS8로 변환됩니다.
    • x509 버전 3
    • 루트 인증서에 대해 CA 확장을 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다. 예:
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • CRL 서명을 사용하도록 설정해야 합니다.
    • 확장 키 사용은 비워 두거나 서버 인증을 포함할 수 있습니다.
    • 인증서 체인의 길이에 대한 명시적 제한이 없습니다. VMCA는 OpenSSL 기본값인 10개의 인증서를 사용합니다.
    • 와일드카드 또는 2개 이상의 DNS 이름이 있는 인증서는 지원되지 않습니다.
    • VMCA의 부수적인 CA를 생성할 수 없습니다.

      Microsoft CA(인증 기관)를 사용하는 예는 VMware 기술 자료 문서(https://kb.vmware.com/s/article/2112009)인 'vSphere 6.x에서 SSL 인증서 생성에 사용할 Microsoft CA(인증 기관) 템플릿 생성'을 참조하십시오.

사전 요구 사항

vSphere Certificate Manager는 사용자에게 정보를 묻습니다. 묻는 정보는 해당 환경 및 사용자가 교체하려는 인증서의 유형에 따라 다릅니다.

CSR을 생성하는 경우 [email protected] 사용자의 암호나 연결되어 있는 vCenter Single Sign-On 도메인 관리자의 암호를 묻습니다.

프로시저

  1. vCenter Server 셸에 로그인하고 vSphere Certificate Manager를 시작합니다. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 옵션 2를 선택하고 VMCA 루트 인증서를 사용자 지정 서명 인증서로 교체하고 모든 인증서를 교체합니다.
    처음에는 이 옵션을 인증서를 교체하지 않고 CSR을 생성하는 데 사용합니다.
  3. 관리자 사용자 이름 및 암호를 입력합니다.
  4. 옵션 1, [VMCA 루트 서명 인증서에 대한 인증서 서명 요청 및 키 생성]을 선택하여 CSR을 생성하고 메시지에 응답합니다.
    해당 프로세스의 일부로, 디렉토리를 제공해야 합니다. vSphere Certificate Manager는 서명할 인증서( *.csr 파일)와 해당 키 파일( *.key 파일)을 디렉토리에 배치합니다.
  5. CSR(인증서 서명 요청)의 이름을 root_signing_cert.csr로 지정합니다.
  6. 서명을 위해 CSR을 엔터프라이즈 또는 외부 CA로 보내고 서명된 인증서의 이름을 root_signing_cert.cer로 지정합니다.
  7. 텍스트 편집기에서 인증서를 다음과 같이 결합합니다. 
    -----BEGIN CERTIFICATE-----
Signed VMCA root certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----
  8. 파일을 root_signing_chain.cer로 저장합니다.

다음에 수행할 작업

기존 루트 인증서를 체인 루트 인증서로 교체합니다. Certificate Manager를 사용하여 사용자 지정 서명 인증서로 VMCA 루트 인증서 교체 및 모든 인증서 교체의 내용을 참조하십시오.

Certificate Manager를 사용하여 사용자 지정 서명 인증서로 VMCA 루트 인증서 교체 및 모든 인증서 교체

vSphere Certificate Manager 유틸리티를 사용하여 CSR을 생성하고 서명을 위해 엔터프라이즈 또는 타사 CA에 CSR을 보낼 수 있습니다. 그런 다음 VMCA 루트 인증서를 사용자 지정 서명 인증서로 교체하고 모든 기존 인증서를 사용자 지정 CA에서 서명된 인증서로 교체할 수 있습니다.

vCenter Server에서 vSphere Certificate Manager를 실행하여 VMCA 루트 인증서를 사용자 지정 서명 인증서로 교체합니다.

사전 요구 사항

  • 인증서 체인을 생성합니다.
    • vSphere Certificate Manager를 사용하여 CSR을 생성하거나 수동으로 CSR을 생성할 수 있습니다.
    • 타사 또는 엔터프라이즈 CA로부터 서명된 인증서를 받은 후에는 이 인증서를 초기 VMCA 루트 인증서와 결합하여 전체 체인을 생성합니다.

      인증서 요구 사항과 인증서 결합 프로세스는 Certificate Manager를 사용하여 CSR 생성 및 루트 인증서(중간 CA) 준비 항목을 참조하십시오.

  • 필요한 정보를 수집합니다.
    • [email protected]의 암호
    • 루트에 대한 유효한 사용자 지정 인증서(.crt 파일)
    • 루트에 유효한 사용자 지정 키(.key 파일)

프로시저

  1. vCenter Server 셸에 로그인하고 vSphere Certificate Manager를 시작합니다. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 옵션 2를 선택하고 VMCA 루트 인증서를 사용자 지정 서명 인증서로 교체하고 모든 인증서를 교체합니다.
  3. 관리자 사용자 이름 및 암호를 입력합니다.
  4. 옵션 2, [사용자 지정 인증서 및 키를 가져와서 기존 VMCA 루트 서명 인증서 교체]를 선택하고 메시지에 응답합니다.
    1. 메시지가 표시되면 루트 인증서의 전체 경로를 지정합니다.
    2. 인증서를 처음 교체하는 경우에는 시스템 SSL 인증서에 사용할 정보를 요청하는 메시지가 표시됩니다.
      이 정보는 시스템의 필수 FQDN을 포함하며, certool.cfg 파일에 저장됩니다.

Certificate Manager를 사용하여 시스템 SSL 인증서를 VMCA 인증서로 교체(중간 CA)

VMCA를 중간 CA로 사용하는 경우 vSphere Certificate Manager 유틸리티를 사용하여 시스템 SSL 인증서를 명시적으로 교체할 수 있습니다. 먼저 vCenter Server의 VMCA 루트 인증서를 교체한 다음, 시스템 SSL 인증서를 교체할 수 있습니다. 이것은 VMCA의 새로운 루트에 의해 서명됩니다. 또한 이 옵션을 사용하여 손상되거나 만료되려고 하는 시스템 SSL 인증서를 교체할 수 있습니다.

기존 시스템 SSL 인증서를 새 VMCA 서명 인증서로 교체하는 경우 vSphere Certificate Manager가 정보를 요청하며 vCenter Server의 암호와 IP 주소를 제외한 모든 값을 certool.cfg 파일에 입력합니다.

  • [email protected]의 암호
  • 두 글자의 국가 코드
  • 회사 이름
  • 조직 이름
  • 조직 구성 단위
  • 상태
  • 구/군/시
  • IP 주소(선택 사항)
  • 이메일
  • 호스트 이름, 즉 인증서를 교체하려고 하는 시스템의 정규화된 도메인 이름. 호스트 이름이 FQDN과 일치하지 않으면 인증서 교체가 올바르게 완료되지 않으며 환경이 불안정한 상태가 될 수 있습니다.
  • vCenter Server의 IP 주소
  • VMCA 이름, 즉 인증서 구성이 실행 중인 시스템의 FQDN(정규화된 도메인 이름)
참고: OU(organizationalUnitName) 필드는 더 이상 필수가 아닙니다.

사전 요구 사항

  • 이 옵션으로 vSphere Certificate Manager를 실행하려면 다음 정보를 알고 있어야 합니다.
    • [email protected]의 암호
    • 새 VMCA 서명 인증서를 생성하려는 시스템의 FDQN. 다른 모든 속성은 사전 정의된 값이 기본값으로 사용되지만 변경 가능합니다.
    • vCenter Server 시스템의 호스트 이름 또는 IP 주소.

프로시저

  1. vCenter Server 셸에 로그인하고 vSphere Certificate Manager를 시작합니다. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 옵션 3, [시스템 SSL 인증서를 VMCA 인증서로 교체]를 선택합니다.
  3. 관리자 사용자 이름 및 암호를 입력합니다.
  4. 프롬프트에 응답합니다.
    vSphere Certificate Manager가 certool.cfg 파일에 정보를 저장합니다.

결과

vSphere Certificate Manager가 시스템 SSL 인증서를 교체합니다.

Certificate Manager를 사용하여 솔루션 사용자 인증서를 VMCA 인증서로 교체(중간 CA)

VMCA를 중간 CA로 사용하는 경우 vSphere Certificate Manager 유틸리티를 사용하여 솔루션 사용자 인증서를 명시적으로 교체할 수 있습니다. 먼저 vCenter Server의 VMCA 루트 인증서를 교체한 다음, 솔루션 사용자 인증서를 교체할 수 있습니다. 이것은 VMCA의 새로운 루트에 의해 서명됩니다. 또한 이 옵션을 사용하여 손상되거나 만료 예정인 솔루션 인증서를 교체할 수 있습니다.

사전 요구 사항

  • 고급 연결 모드 구성에서 여러 vCenter Server 인스턴스로 구성된 배포에서 VMCA 루트 인증서를 교체한 경우, 모든 vCenter Server 노드를 명시적으로 다시 시작합니다.
  • 이 옵션으로 vSphere Certificate Manager를 실행하려면 다음 정보를 알고 있어야 합니다.
    • [email protected]의 암호
    • vCenter Server 시스템의 호스트 이름 또는 IP 주소

프로시저

  1. vCenter Server 셸에 로그인하고 vSphere Certificate Manager를 시작합니다. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 옵션 6, [솔루션 사용자 인증서를 VMCA 인증서로 교체]를 선택합니다.
  3. 관리자 사용자 이름 및 암호를 입력합니다.
  4. 프롬프트에 응답합니다.
    자세한 내용은 https://kb.vmware.com/s/article/2112281에서 VMware 기술 자료 문서를 참조하십시오.

결과

vSphere Certificate Manager가 모든 솔루션 사용자 인증서를 교체합니다.