일련의 CLI를 사용하여 VMCA(VMware Certificate Authority), VECS(VMware Endpoint Certificate Store), VMware Directory Service(vmdir) 및 STS(Security Token Service) 인증서를 관리할 수 있습니다. vSphere Certificate Manager 유틸리티는 다양한 관련 작업도 지원하지만 수동 인증서 관리 및 기타 서비스 관리를 위해서는 CLI가 필요합니다.

일반적으로 SSH를 사용하여 장치 셸에 연결하여 인증서와 연결된 서비스를 관리하기 위해 CLI 도구에 액세스합니다. 자세한 내용은 https://kb.vmware.com/s/article/2100508에서 VMware 기술 자료 문서를 참조하십시오.

vSphere 인증서 수동 교체에는 CLI 명령을 사용하여 인증서를 교체하는 예제가 제공됩니다.

표 1. 인증서 및 연결된 서비스 관리를 위한 vSphere CLI 도구
CLI 설명 참조
certool 인증서와 키를 생성하고 관리합니다. VMware 인증서 관리 서비스인 VMCAD의 일부입니다.

certool 초기화 명령 참조

vecs-cli VMware Certificate Store 인스턴스의 컨텐츠를 관리합니다. VMAFD(VMware 인증 프레임워크 대몬)의 일부입니다. vecs-cli 명령 참조
dir-cli VMware Directory Service에서 인증서를 만들고 업데이트합니다. VMAFD의 일부입니다. dir-cli 명령 참조
sso-config.sh STS 인증서를 관리합니다. 명령줄 도움말. 옵션 없이 sso-config.sh를 입력하면 명령줄 도움말이 표시됩니다.
service-control 예를 들면 인증서 교체 워크플로의 일부로 서비스를 시작 또는 중지합니다.

다른 CLI 명령을 실행하기 전에 이 명령을 실행하여 서비스를 중지합니다.

vSphere CLI 위치

기본적으로 다음 위치에서 CLI를 찾을 수 있습니다. 

/usr/lib/vmware-vmafd/bin/vecs-cli
/usr/lib/vmware-vmafd/bin/dir-cli
/usr/lib/vmware-vmca/bin/certool
/opt/vmware/bin/sso-config.sh
참고: service-control 명령에는 경로를 지정하지 않아도 됩니다.

vSphere CLI 실행을 위한 필수 권한

필수 권한은 사용하는 CLI 및 실행하려는 명령에 따라 다릅니다. 예를 들어 대부분의 인증서 관리 작업을 수행하려면 로컬 vCenter Single Sign-On 도메인(기본적으로 vsphere.local)의 관리자여야 합니다. 일부 명령은 모든 사용자가 사용할 수 있습니다.

dir-cli
dir-cli 명령을 실행하려면 로컬 도메인(기본적으로 vsphere.local)에서 관리자 그룹의 멤버여야 합니다. 사용자 이름과 암호를 지정하지 않으면 로컬 vCenter Single Sign-On 도메인의 관리자(기본적으로 [email protected]) 암호를 입력하라는 메시지가 표시됩니다.
vecs-cli
처음에는 블랭킷 액세스 권한을 가진 사용자와 저장소 소유자만 저장소에 액세스할 수 있습니다. 관리자 그룹의 사용자는 블랭킷 액세스 권한이 있습니다.
MACHINE_SSL_CERT 및 TRUSTED_ROOTS 저장소는 특별 저장소입니다. 설치 유형에 따라 루트 사용자 또는 관리자 사용자만 전체 액세스 권한을 갖습니다.
certool
대부분의 certool 명령을 실행하려면 사용자가 관리자 그룹에 속해 있어야 합니다. 다음 명령은 모든 사용자가 실행할 수 있습니다.
  • genselfcacert
  • initscr
  • getdc
  • waitVMDIR
  • waitVMCA
  • genkey
  • viewcert

certool 구성 옵션 변경

certool --gencert 또는 특정한 다른 인증서 초기화 또는 관리 명령을 실행하면 명령이 구성 파일에서 모든 값을 읽습니다. 기존 파일을 편집하거나, -–config=<file name> 옵션을 사용하여 기본 구성 파일을 재정의하거나, 명령줄에서 값을 재정의할 수 있습니다.

구성 파일(certool.cfg)은 기본적으로 /usr/lib/vmware-vmca/share/config/ 디렉토리에 있습니다.

파일에는 다음의 기본값을 가진 몇 개의 필드가 있습니다. 

Country = US
Name= Acme
Organization = AcmeOrg
OrgUnit = AcmeOrg Engineering
State = California 
Locality = Palo Alto
IPAddress = 127.0.0.1	
Email = [email protected]
Hostname = server.acme.com
참고: OU(organizationalUnitName) 필드는 더 이상 필수가 아닙니다.
다음과 같이 수정된 파일을 명령줄에 지정하거나 명령줄에서 개별 값을 재정의하여 값을 변경할 수 있습니다.
  • 구성 파일의 복사본을 생성하고 파일을 편집합니다. --config 명령줄 옵션을 사용하여 파일을 지정합니다. 경로 이름 문제가 발생하지 않도록 전체 경로를 지정합니다. 
  • /usr/lib/vmware-vmca/bin/certool -–gencert --config /tmp/myconfig.cfg
  • 명령줄에서 개별 값을 재정의합니다. 예를 들어 Locality를 재정의하려면 이 명령을 실행합니다. 
    /usr/lib/vmware-vmca/bin/certool -–gencert -–privkey=private.key –-Locality="Mountain View"
인증서 주체 이름의 CN 필드를 교체하려면 --Name을 지정합니다.
  • 솔루션 사용자 인증서의 경우 이름은 규칙에 따라 <sol_user name>@<domain>이지만 환경에 다른 규칙이 사용되는 경우에는 이름을 변경할 수 있습니다.
  • 시스템 SSL 인증서의 경우 시스템의 FQDN이 사용됩니다.

    VMCA에서는 DNSName(Hostname 필드)을 하나만 허용하며 다른 별칭 옵션은 허용하지 않습니다. 사용자가 IP 주소를 지정하는 경우 이 주소도 SubAltName에 저장됩니다.

--Hostname 매개 변수를 사용하여 인증서 SubAltName의 DNSName을 지정합니다.