vSphere Client를 사용하여 기본 인증서를 사용자 지정 인증서로 교체할 수 있습니다.

vSphere Client를 사용하여 각 시스템에 대한 CSR을 생성하고 내부 또는 타사 CA(인증 기관)에서 인증서를 받을 때 인증서를 교체할 수 있습니다. CSR을 내부 또는 타사 CA에 제출하면 CA는 서명된 인증서와 루트 인증서를 반환합니다. 루트 인증서와 서명된 인증서 둘 모두 vSphere Client에서 업로드할 수 있습니다.

vSphere Client를 사용하여 시스템 SSL 인증서에 대한 인증서 서명 요청 생성(사용자 지정 인증서)

시스템 SSL 인증서는 모든 vCenter Server 노드에서 역방향 프록시 서비스가 사용합니다. 각 시스템마다 다른 서비스와의 보안 통신을 위한 시스템 SSL 인증서가 있어야 합니다. vSphere Client를 사용하여 시스템 SSL 인증서에 대해 CSR(인증서 서명 요청)을 생성하고, 준비가 완료된 후 인증서를 바꿀 수 있습니다.

사전 요구 사항

인증서는 다음 요구 사항을 충족해야 합니다.

  • 키 크기: 2048비트(최소)~8192비트(최대)(PEM 인코딩) vSphere Client 및 API는 인증서 서명 요청을 생성할 때 키 크기를 여전히 최대 16384비트까지 수락합니다.
  • CRT 형식
  • x509 버전 3
  • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.
  • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화
참고: vSphere의 FIPS 인증서는 2048비트 및 3072비트의 RSA 키 크기만 검증합니다.

프로시저

  1. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  2. [email protected] 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.
    설치 시 다른 도메인을 지정한 경우에는 administrator@ mydomain으로 로그인합니다.
  3. 인증서 관리 UI로 이동합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. 인증서에서 인증서 관리를 클릭합니다.
  4. vCenter Server의 자격 증명을 입력합니다.
  5. CSR을 생성합니다.
    1. 시스템 SSL 탭에서 원하는 인증서를 선택하고 CSR(인증서 서명 요청) 생성을 클릭합니다.
    2. 인증서 정보를 입력하고 다음을 클릭합니다.
      2048(비트)은 키 크기의 기본값입니다. 필요에 따라 이 값을 변경합니다.
      참고: vCenter Server를 사용하여 큰 키 크기의 CSR을 생성하는 경우 CPU를 많이 소모하는 작업의 특성상 생성을 완료하는 데에는 몇 분이 걸립니다.
    3. CSR을 복사하거나 다운로드합니다.
    4. 마침을 클릭합니다.
    5. 인증 기관에 CSR을 제공합니다.

다음에 수행할 작업

인증 기관에서 인증서를 반환하면 인증서 저장소에서 기존 인증서를 바꿉니다. vSphere Client를 사용하여 사용자 지정 인증서 추가의 내용을 참조하십시오.

vSphere Client를 사용하여 신뢰할 수 있는 루트 인증서를 인증서 저장소에 추가

환경에서 타사 인증서를 사용하려면 신뢰할 수 있는 루트 인증서를 인증서 저장소에 추가해야 합니다. vSphere Client를 사용하여 이 작업을 수행할 수 있습니다.

사전 요구 사항

타사 또는 사내 CA(인증 기관)에서 사용자 지정 루트 인증서를 가져옵니다.

vSphere는 가져오기에 유효한 CA 인증서만 허용합니다. 유효하려면 CA 인증서의 CA 비트와 keyCertSign 비트가 기본 제약 조건과 키 용도 X.509 v3 인증서 확장에 각각 설정되어 있어야 합니다. 이는 인증서가 CA이고 해당 용도는 인증서 서명임을 의미합니다. 자세한 내용은 https://www.rfc-editor.org/rfc/rfc5280을 참조하십시오.

체인의 모든 인증서에 대해 keyCertSign 비트가 설정되어 있는지 확인합니다.

프로시저

  1. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  2. [email protected] 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.
    설치 시 다른 도메인을 지정한 경우에는 administrator@ mydomain으로 로그인합니다.
  3. 인증서 관리 UI로 이동합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. 인증서에서 인증서 관리를 클릭합니다.
  4. 시스템에 메시지가 표시되면 vCenter Server의 자격 증명을 입력합니다.
  5. 신뢰할 수 있는 루트 탭에서 신뢰할 수 있는 루트 인증서 추가를 클릭합니다.
  6. 찾아보기를 클릭하고 인증서 체인의 위치를 선택합니다.
    CER, PEM 또는 CRT 유형의 파일을 사용할 수 있습니다.
  7. 추가를 클릭합니다.
    인증서가 저장소에 추가됩니다.
    참고: vSphere 8.0 업데이트 2 이상에서는 vCenter 호스트로 루트 인증서 푸시 시작 확인란이 제거됩니다. 인증서가 추가되면 vCenter Server가 루트 인증서를 인벤토리의 연결된 모든 호스트에 푸시합니다. vCenter Server와 다른 루트 인증서가 있는 호스트가 연결되면 vCenter Server는 해당 루트 인증서를 푸시하여 이러한 차이를 수정합니다. 이 경우 vCenter Server 루트 인증서가 호스트에 있는 인증서를 덮어쓰므로 관리자는 인벤토리 전체에 필요한 사용자 지정 루트 인증서가 vCenter Server에 추가되었는지 확인할 수 있습니다.

vSphere Client를 사용하여 사용자 지정 인증서 추가

vSphere Client를 사용하여 사용자 지정 시스템 SSL 인증서를 인증서 저장소에 추가할 수 있습니다.

대개는 각 구성 요소의 시스템 SSL 인증서를 교체하는 것으로도 충분합니다.

사전 요구 사항

교체할 각 인증서에 대해 CSR(인증서 서명 요청)을 생성합니다. vSphere Client를 사용하여 시스템 SSL 인증서에 대한 인증서 서명 요청 생성(사용자 지정 인증서)의 내용을 참조하십시오. 인증서와 개인 키를 vCenter Server에서 액세스할 수 있는 위치에 배치합니다.

프로시저

  1. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  2. [email protected] 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.
    설치 시 다른 도메인을 지정한 경우에는 administrator@ mydomain으로 로그인합니다.
  3. 인증서 관리 UI로 이동합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. 인증서에서 인증서 관리를 클릭합니다.
  4. 시스템에 메시지가 표시되면 vCenter Server의 자격 증명을 입력합니다.
  5. 시스템 SSL 탭에서 인증서를 선택하고 인증서 가져오기 및 바꾸기를 클릭합니다.
  6. 적절한 인증서 교체 옵션을 클릭한 후 다음을 클릭합니다.
    옵션 설명
    VMCA 인증서로 교체 현재 인증서를 교체할 VMCA에서 생성된 CSR을 생성합니다.
    vCenter Server에서 생성된 CSR이 포함된 외부 CA 인증서로 교체(개인 키 포함) vCenter Server에서 생성한 CSR을 사용하여 서명된 인증서로 현재 인증서를 교체합니다.
    외부 CA 인증서로 교체(개인 키 필요) 외부 CA에서 서명한 인증서로 현재 인증서를 교체합니다.
  7. CSR 정보를 입력하거나 적절한 인증서를 업로드합니다.
  8. 확인란을 클릭하여 vCenter Server 및 해당 데이터베이스를 백업했음을 확인합니다.
  9. 정보를 검토하고 마침을 클릭합니다.
    시스템이 인증서를 교체하고 성공 메시지를 표시합니다.
  10. 인증서가 변경되었다는 메시지가 나타나면 새로 고침을 클릭하여 브라우저를 새로 고칩니다.

VMCA 리프 인증서 생성

VMware 인프라에서 사용할 수 있도록 VMCA(VMware Certificate Authority)에서 서명한 리프 인증서를 생성할 수 있습니다.

VMCA(VMware Certificate Authority)가 모든 인증서 관리를 처리하는 것 외에도 리프 인증서를 생성할 수 있습니다. 리프 인증서는 VMCA에서 서명되며 다른 VMware 리소스를 식별하는 데 사용됩니다. VMCA에서 생성된 리프 인증서는 VECS에 저장되지 않습니다. 또한 vCenter Server는 이러한 리프 인증서의 만료를 추적하지 않습니다.

사전 요구 사항

리프 인증서를 설치하려는 VMware 인프라의 호스트에서 CSR(인증서 서명 요청)을 생성합니다.

프로시저

  1. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  2. [email protected] 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.
    설치 시 다른 도메인을 지정한 경우에는 administrator@ mydomain으로 로그인합니다.
  3. 인증서 관리 UI로 이동합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. 인증서에서 인증서 관리를 클릭합니다.
  4. 시스템에 메시지가 표시되면 vCenter Server의 자격 증명을 입력합니다.
  5. 신뢰할 수 있는 루트 탭에서 VMCA 루트 인증서를 선택하고 새 리프 인증서 발급을 클릭합니다.
  6. 이전에 생성한 CSR을 찾아 기간을 지정한 후 다음을 클릭합니다.
  7. 인증서 다운로드를 클릭하여 리프 및 루트 인증서를 저장합니다.

결과

생성된 리프 및 루트 인증서가 만들어지고 지정된 위치에 다운로드됩니다.

다음에 수행할 작업

리프 및 루트 인증서를 VMware 인프라의 대상 호스트로 가져옵니다.