기본적으로 Auto Deploy 서버는 VMCA(VMware Certificate Authority)에서 서명한 인증서로 각 호스트를 프로비저닝합니다. Auto Deploy 서버가 VMCA에서 서명하지 않은 사용자 지정 인증서로 모든 호스트를 프로비저닝하도록 설정할 수 있습니다. 이 시나리오에서 Auto Deploy 서버는 타사 CA(인증 기관)의 하위 CA(인증 기관)가 됩니다.

사전 요구 사항

  • CA에서 인증서를 요청합니다. 인증서는 다음 요구 사항을 충족해야 합니다.
    • 키 크기: 2048비트(최소)~8192비트(최대)(PEM 인코딩)
    • PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.
    • x509 버전 3
    • 루트 인증서의 경우 CA 확장을 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다.
    • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.
    • CRT 형식
    • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화
    • 현재 시간 하루 전 시작 시간
    • ESXi 호스트가 vCenter Server 인벤토리에 가지고 있는 호스트 이름(또는 IP 주소)으로 설정된 CN (및 SubjectAltName).
    참고: vSphere의 FIPS 인증서는 2048비트 및 3072비트의 RSA 키 크기만 검증합니다. FIPS 사용 시 고려 사항의 내용을 참조하십시오.
  • 인증서 및 키 파일을 rbd-ca.crtrbd-ca.key로 명명합니다.

프로시저

  1. 기본 ESXi 인증서를 백업합니다.
    인증서는 /etc/vmware-rbd/ssl/ 디렉토리에 있습니다.
  2. vSphere Authentication Proxy 서비스를 중지합니다.
    도구 단계
    vCenter Server 관리 인터페이스
    1. 웹 브라우저에서 vCenter Server 관리 인터페이스 https://vcenter-IP-address-or-FQDN:5480으로 이동합니다.
    2. 루트로 로그인합니다.

      기본 루트 암호는 vCenter Server를 배포하는 중에 설정하는 암호입니다.

    3. 서비스를 클릭하고 VMware vSphere Authentication Proxy를 클릭합니다.
    4. 중지를 클릭합니다.
    CLI
    service-control --stop vmcam
    
  3. Auto Deploy 서비스가 실행되는 시스템에서 /etc/vmware-rbd/ssl/rbd-ca.crtrbd-ca.key를 사용자 지정 인증서 및 키 파일로 교체합니다.
  4. Auto Deploy 서비스가 실행되는 시스템에서 다음 명령을 실행하여 새 인증서를 사용하도록 VECS(VMware Endpoint Certificate Store) 내의 TRUSTED_ROOTS 저장소를 업데이트합니다.
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    /usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
  5. TRUSTED_ROOTS 저장소의 컨텐츠가 포함된 castore.pem 파일을 생성하여 /etc/vmware-rbd/ssl/ 디렉토리에 배치합니다.
    사용자 지정 모드에서는 사용자에게 이 파일을 관리할 책임이 있습니다.
  6. vCenter Server 시스템의 ESXi 인증서 모드를 사용자 지정으로 변경합니다.
    ESXi 인증서 모드 변경의 내용을 참조하십시오.
  7. vCenter Server 서비스를 다시 시작하고 Auto Deploy 서비스를 시작합니다.

결과

다음 번에 Auto Deploy를 사용하도록 설정된 호스트를 프로비저닝하면 Auto Deploy 서버에서 인증서를 생성합니다. TRUSTED_ROOTS 저장소에 추가한 루트 인증서가 Auto Deploy 서버에서 사용됩니다.

참고: 인증서 교체 후 Auto Deploy 관련 문제가 발생하면 VMware 기술 자료 문서( https://kb.vmware.com/s/article/2000988)를 참조하십시오.