기본적으로 Auto Deploy 서버는 VMCA(VMware Certificate Authority)에서 서명한 인증서로 각 호스트를 프로비저닝합니다. Auto Deploy 서버가 VMCA에서 서명하지 않은 사용자 지정 인증서로 모든 호스트를 프로비저닝하도록 설정할 수 있습니다. 이 시나리오에서 Auto Deploy 서버는 타사 CA(인증 기관)의 하위 CA(인증 기관)가 됩니다.
사전 요구 사항
- CA에서 인증서를 요청합니다. 인증서는 다음 요구 사항을 충족해야 합니다.
- 키 크기: 2048비트(최소)~8192비트(최대)(PEM 인코딩)
- PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.
- x509 버전 3
- 루트 인증서의 경우 CA 확장을 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다.
- SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.
- CRT 형식
- 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화
- 현재 시간 하루 전 시작 시간
- ESXi 호스트가 vCenter Server 인벤토리에 가지고 있는 호스트 이름(또는 IP 주소)으로 설정된 CN (및 SubjectAltName).
참고: vSphere의 FIPS 인증서는 2048비트 및 3072비트의 RSA 키 크기만 검증합니다. FIPS 사용 시 고려 사항의 내용을 참조하십시오. - 인증서 및 키 파일을 rbd-ca.crt 및 rbd-ca.key로 명명합니다.
프로시저
결과
다음 번에 Auto Deploy를 사용하도록 설정된 호스트를 프로비저닝하면 Auto Deploy 서버에서 인증서를 생성합니다. TRUSTED_ROOTS 저장소에 추가한 루트 인증서가 Auto Deploy 서버에서 사용됩니다.
참고: 인증서 교체 후 Auto Deploy 관련 문제가 발생하면 VMware 기술 자료 문서(
https://kb.vmware.com/s/article/2000988)를 참조하십시오.