인증서 요구 사항은 VMCA(VMware Certificate Authority)를 중간 CA(인증 기관)로 사용하는지, 아니면 사용자 지정 인증서를 사용하는지에 따라 달라집니다. 시스템 인증서에 대한 요구 사항도 다릅니다.
인증서 변경을 시작하기 전에 vSphere 환경의 모든 노드에서 시간이 동기화되는지 확인합니다.
가져온 모든 vSphere 인증서에 대한 요구 사항
- 키 크기: 2048비트(최소)~8192비트(최대)(PEM 인코딩) vSphere Client 및 API는 인증서 서명 요청을 생성할 때 키 크기를 여전히 최대 16384비트까지 수락합니다.
참고: vSphere 8.0에서는 vSphere Client 또는 vSphere Certificate Manager를 사용할 때 최소 키 길이가 3072비트인 CSR만 생성할 수 있습니다. vCenter Server는 키 길이가 2048비트인 사용자 지정 인증서를 여전히 허용합니다. vSphere 8.0 업데이트 1 이상에서는 vSphere Client를 사용하여 키 길이가 2048비트인 CSR을 생성할 수 있습니다.참고: vSphere의 FIPS 인증서는 2048비트 및 3072비트의 RSA 키 크기만 검증합니다.
- PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.
- x509 버전 3
- SubjectAltName에는 DNS Name=machine_FQDN이 포함되어야 합니다.
- CRT 형식
- 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화
- vpxd-extension 솔루션 사용자 인증서를 제외하는 경우 확장 키 사용이 비어 있거나 서버 인증을 포함할 수 있습니다.
- 와일드카드가 있는 인증서.
- md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 및 sha1WithRSAEncryption 알고리즘은 지원되지 않습니다.
- vCenter Server용 사용자 정의 시스템 SSL 인증서를 생성할 때 서버 인증 및 클라이언트 인증은 지원되지 않으며 Microsoft CA(인증 기관) 템플릿을 사용할 때 제거해야 합니다. 자세한 내용은 VMware 기술 자료 문서 https://kb.vmware.com/s/article/2112009를 참조하십시오.
vSphere 인증서의 RFC 2253 규정 준수
인증서는 RFC 2253 규정을 준수해야 합니다.
vSphere Certificate Manager를 사용하여 CSR을 생성하지 않는 경우 CSR에 다음 필드가 포함되어 있어야 합니다.
문자열 | X.500 특성 유형 |
---|---|
CN | commonName |
L | localityName |
ST | stateOrProvinceName |
O | organizationName |
OU | organizationalUnitName |
C | countryName |
STREET | streetAddress |
DC | domainComponent |
UID | userid |
- 연결하는 vCenter Single Sign-On 도메인의 관리자 또는 [email protected] 사용자의 암호
- vSphere Certificate Manager가 certool.cfg 파일에 저장하는 정보. 대부분의 필드에서 기본값을 수락하거나 사이트별 값을 제공할 수 있습니다. 시스템의 FQDN은 필수 항목입니다.
- [email protected]의 암호
- 두 글자의 국가 코드
- 회사 이름
- 조직 이름
- 조직 구성 단위
- 상태
- 구/군/시
- IP 주소(선택 사항)
- 이메일
- 호스트 이름, 즉 인증서를 교체하려고 하는 시스템의 정규화된 도메인 이름. 호스트 이름이 FQDN과 일치하지 않으면 인증서 교체가 올바르게 완료되지 않으며 환경이 불안정한 상태가 될 수 있습니다.
- vSphere Certificate Manager를 실행하는 vCenter Server 노드의 IP 주소.
VMCA를 중간 CA(인증 기관)으로 사용하는 경우 인증서 요구 사항
VMCA를 중간 CA로 사용하는 경우 인증서가 다음 요구 사항을 충족해야 합니다.
인증서 유형 | 인증서 요구 사항 |
---|---|
루트 인증서 |
|
시스템 SSL 인증서 | vSphere Certificate Manager를 사용하여 CSR을 생성하거나 수동으로 CSR을 생성할 수 있습니다. CSR을 수동으로 생성하는 경우 앞의 "가져온 모든 vSphere 인증서에 대한 요구 사항" 목록에 나온 요구 사항을 충족해야 합니다. 또한 호스트의 FQDN을 지정해야 합니다. |
솔루션 사용자 인증서 | vSphere Certificate Manager를 사용하여 CSR을 생성하거나 수동으로 CSR을 생성할 수 있습니다.
참고: 각 솔루션 사용자의 이름에 다른 값을 사용해야 합니다. 인증서를 수동으로 생성하는 경우 사용하는 도구에 따라
주체 아래에
CN으로 표시될 수 있습니다.
vSphere Certificate Manager를 사용하는 경우 각 솔루션 사용자에 대한 인증서 정보를 입력하라는 메시지가 표시됩니다. vSphere Certificate Manager가 이 정보를 certool.cfg에 저장합니다. vpxd-extension 솔루션 사용자의 경우 확장 키 사용을 비워두거나 "TLS WWW 클라이언트 인증"을 사용할 수 있습니다. |
사용자 지정 인증서 사용 시 요구 사항
사용자 지정 인증서를 사용하려면 인증서가 다음 요구 사항을 충족해야 합니다.
인증서 유형 | 인증서 요구 사항 |
---|---|
시스템 SSL 인증서 | 각 노드의 시스템 SSL 인증서는 타사 또는 엔터프라이즈 CA에서 받은 별도의 인증서를 가져야 합니다.
|
솔루션 사용자 인증서 | 각 노드의 각 솔루션 사용자는 타사 또는 엔터프라이즈 CA에서 받은 별도의 인증서를 가져야 합니다.
이후에 솔루션 사용자 인증서를 사용자 지정 인증서로 교체하는 경우 타사 CA의 전체 서명 인증서 체인을 제공해야 합니다. vpxd-extension 솔루션 사용자의 경우 확장 키 사용을 비워두거나 "TLS WWW 클라이언트 인증"을 사용할 수 있습니다. |