VMCA(VMware Certificate Authority)는 기본적으로 각 ESXi 호스트에 루트 인증 기관이 VMCA인 서명된 인증서를 프로비저닝합니다. 프로비저닝은 호스트가 vCenter Server에 명시적으로 추가되거나 ESXi 설치 또는 업그레이드의 일부로 추가될 때 발생합니다.

vSphere Client에서 그리고 vSphere Web Services SDK에서 vim.CertificateManager API를 사용하여 ESXi 인증서를 보고 관리할 수 있습니다. vCenter Server 인증서 관리에 사용할 수 있는 인증서 관리 CLI를 사용하여 ESXi 인증서를 보거나 관리할 수 없습니다.

vSphere의 인증서

ESXivCenter Server는 통신할 때 거의 모든 관리 트래픽에 TLS를 사용합니다.

vCenter ServerESXi 호스트에 대해 다음과 같은 인증서 모드를 지원합니다.
표 1. ESXi 호스트에 대한 인증서 모드
인증서 모드 설명
VMware Certificate Authority(기본값) VMCA가 모든 ESXi 호스트를 최상위 CA 또는 중간 CA로 프로비저닝하는 경우 이 모드를 사용합니다.

기본적으로 VMCA는 인증서로 ESXi 호스트를 프로비저닝합니다.

이 모드에서는 vSphere Client에서 인증서를 새로 고치거나 갱신할 수 있습니다.

사용자 지정 인증 기관 타사 또는 엔터프라이즈 CA가 서명한 사용자 지정 인증서만 사용하려는 경우 이 모드를 사용합니다.
이 모드에서는 사용자가 인증서 관리에 대한 책임이 있습니다. vSphere Client에서 인증서를 새로 고치거나 갱신할 수 없습니다.
참고: 인증서 모드를 사용자 지정 인증 기관으로 변경하는 경우가 아니면 VMCA가 vSphere Client에서 갱신을 선택하는 경우와 같이 사용자 지정 인증서를 교체할 수도 있습니다.
지문 모드 vSphere 5.5에서는 지문 모드를 사용했으며 이 모드는 vSphere 6.x에 대한 폴백 옵션으로 아직 사용할 수 있습니다. 이 모드에서 vCenter Server는 인증서가 올바른 형식인지 검사하지만 인증서의 유효성은 검사하지 않습니다. 만료된 인증서도 수락됩니다.

다른 두 모드 중 하나로 해결할 수 없는 문제가 발생하는 경우가 아니면 이 모드를 사용하지 마십시오. 일부 vCenter Server 6.x 이상 서비스는 지문 모드에서 올바르게 작동하지 않을 수 있습니다.

ESXi 인증서 만료

vSphere Client에서 타사 CA 또는 VMCA가 서명한 인증서의 인증서 만료에 대한 정보를 볼 수 있습니다. vCenter Server를 통해 관리되는 모든 호스트 또는 개별 호스트에 대한 정보를 볼 수 있습니다. 인증서가 곧 만료됨 상태(8개월 미만)에 있는 경우 노란색 경보가 발생합니다. 인증서가 만료 임박 상태(2개월 미만)에 있는 경우 빨간색 경보가 발생합니다.

ESXi 프로비저닝 및 인증서

설치 미디어에서 ESXi 호스트를 부팅할 때 호스트에는 처음에 자동 생성된 인증서가 있습니다. 호스트가 vCenter Server 시스템에 추가될 때 해당 호스트가 VMCA가 루트 CA로 서명한 인증서로 프로비저닝됩니다.

타사 또는 엔터프라이즈 CA에서 서명한 사용자 지정 인증서를 ESXi 호스트에 사용할 수도 있습니다.

Auto Deploy의 ESXi 프로비저닝 및 인증서

이 프로세스는 Auto Deploy로 프로비저닝된 호스트의 경우와 유사합니다. 그러나 이러한 호스트는 상태를 저장하지 않으므로 서명된 인증서가 Auto Deploy 서버에 의해 로컬 인증서 저장소에 저장됩니다. 이 인증서는 ESXi 호스트의 후속 부팅 시 재사용됩니다. Auto Deploy 서버는 내장된 배포 또는 vCenter Server 시스템의 일부입니다.

Auto Deploy 호스트가 처음으로 부팅될 때 VMCA를 사용할 수 없는 경우 호스트에서 먼저 연결을 시도합니다. 연결할 수 없는 경우 호스트는 VMCA를 사용할 수 있게 되고 서명된 인증서를 사용하여 호스트를 프로비저닝할 수 있을 때까지 종료와 재부팅을 반복합니다.

Auto Deploy를 타사 CA(인증 기관)의 하위 CA(인증 기관)로 만들 수 있습니다. 이 경우 생성된 인증서는 Auto Deploy SSL 키로 서명됩니다. Auto Deploy를 하위 CA(인증 기관)로 설정의 내용을 참조하십시오.

8.0부터 Auto Deploy에서 사용자 지정 인증서(CA(인증 기관)에서 서명한 인증서)를 사용할 수 있습니다. 호스트가 시작되면 Auto Deploy는 사용자 지정 인증서를 ESXi 호스트의 MAC 주소 또는 BIOS UUID와 연결합니다. Auto Deploy와 함께 사용자 지정 인증서 사용의 내용을 참조하십시오.

ESXi 인증서 관리에 필요한 권한

사용자가 ESXi 호스트 인증서를 관리하려면 인증서.인증서 관리 권한이 필요합니다.

ESXi 호스트 이름 및 IP 주소 변경 사항

ESXi 호스트 이름 또는 IP 주소 변경은 vCenter Server가 호스트 인증서를 유효한 인증서로 고려하는지 여부에 영향을 미칠 수 있습니다. ESXi 호스트를 vCenter Server에 추가하는 방식은 수동 작업이 필요한지 여부에 영향을 미칩니다. 수동 작업은 호스트를 다시 연결하거나 vCenter Server에서 호스트를 제거한 후 다시 추가하는 것을 의미합니다.

표 2. 호스트 이름 또는 IP 주소 변경에 수동 작업이 필요한 경우
다음을 사용하여 vCenter Server에 추가된 ESXi 호스트... ESXi 호스트 이름 변경 ESXi IP 주소 변경
호스트 이름 vCenter Server 연결 문제. 수동 작업이 필요합니다. 작업이 필요하지 않습니다.
IP 주소 작업이 필요하지 않습니다. vCenter Server 연결 문제. 수동 작업이 필요합니다.