VMCA(VMware Certificate Authority)는 기본적으로 각 ESXi 호스트에 루트 인증 기관이 VMCA인 서명된 인증서를 프로비저닝합니다. 프로비저닝은 vCenter Server에 호스트를 명시적으로 추가하거나 ESXi 설치 또는 업그레이드의 일부로 추가할 때 발생합니다.
vSphere Client에서 그리고 vSphere Web Services SDK에서 vim.CertificateManager API를 사용하여 ESXi 인증서를 보고 관리할 수 있습니다. vCenter Server 인증서 관리에 사용할 수 있는 인증서 관리 CLI를 사용하여 ESXi 인증서를 보거나 관리할 수 없습니다.
vSphere 8.0 업데이트 3부터는 호스트를 유지 보수 모드로 전환하거나 호스트 또는 개별 서비스를 다시 시작하지 않고도 ESXi 인증서를 교체할 수 있습니다.
인증서 및 인증서 모드
ESXi 및 vCenter Server는 통신할 때 거의 모든 관리 트래픽에 TLS를 사용합니다.
vCenter Server는 ESXi 호스트에 대해 다음과 같은 인증서 및 인증서 모드를 지원합니다.
인증서 모드 | 설명 |
---|---|
VMware Certificate Authority(기본값) | 기본적으로 VMware Certificate Authority가 ESXi 호스트 인증서의 CA(인증 기관)로 사용됩니다. VMCA는 기본적으로 루트 CA지만 다른 CA에 대한 중간 CA로 설정될 수 있습니다. vmca 모드에서는 vSphere Client에서 인증서를 갱신하고 새로 고칠 수 있습니다. VMCA가 하위 인증서인 경우에도 사용됩니다. |
사용자 지정 인증 기관 | 타사 또는 엔터프라이즈 CA에서 서명한 사용자 지정 인증서만 사용하려면 이 모드를 사용합니다. custom 모드에서는 인증서 관리에 대한 책임이 사용자에게 있습니다. vSphere 8.0 업데이트 3부터는 vSphere Client에서 사용자 지정 인증서를 관리할 수 있습니다.
참고: 인증서 모드를 사용자 지정 인증 기관(
사용자 지정)으로 변경하지 않는 한 VMCA는 예를 들어
vSphere Client에서
갱신을 선택하는 경우 사용자 지정 인증서를 교체할 수 있습니다.
|
지문 모드 | vSphere 5.5에서는 지문 모드를 사용했으며 이 모드는 vSphere 6.x에 대한 폴백 옵션으로 아직 사용할 수 있습니다. 이 모드에서 vCenter Server는 인증서가 올바른 형식인지 검사하지만 인증서의 유효성은 검사하지 않습니다. 만료된 인증서도 수락됩니다. 다른 두 모드 중 하나로 해결할 수 없는 문제가 발생하는 경우가 아니면 이 모드를 사용하지 마십시오. 일부 vCenter Server 6.x 이상 서비스는 지문 모드에서 올바르게 작동하지 않을 수 있습니다. |
다른 유형의 인증서를 사용하도록 인증서 모드를 변경하려면 ESXi 인증서 모드 전환 워크플로 및 ESXi 인증서 모드 변경 항목을 참조하십시오.
ESXi 인증서 만료
vSphere Client에서 타사 CA 또는 VMCA가 서명한 인증서의 인증서 만료에 대한 정보를 볼 수 있습니다. vCenter Server가 관리하는 모든 호스트 또는 개별 호스트에 대한 정보를 볼 수 있습니다. 인증서가 곧 만료됨 상태(8개월 미만)에 있는 경우 노란색 경보가 발생합니다. 인증서가 만료 임박 상태(2개월 미만)에 있는 경우 빨간색 경보가 발생합니다.
ESXi 프로비저닝 및 인증서
설치 미디어에서 ESXi 호스트를 부팅할 때 호스트에는 처음에 자동 생성된 인증서가 있습니다. 호스트를 vCenter Server 시스템에 추가하면 vCenter Server는 VMCA가 루트 CA로 서명한 인증서로 호스트를 프로비저닝합니다.
타사 또는 엔터프라이즈 CA에서 서명한 사용자 지정 인증서를 ESXi 호스트에 사용할 수도 있습니다.
Auto Deploy의 ESXi 프로비저닝 및 인증서
이 프로세스는 Auto Deploy로 프로비저닝된 호스트의 경우와 유사합니다. 그러나 이러한 호스트는 상태를 저장하지 않으므로 서명된 인증서가 Auto Deploy 서버에 의해 로컬 인증서 저장소에 저장됩니다. 이 인증서는 ESXi 호스트의 후속 부팅 시 재사용됩니다. Auto Deploy 서버는 내장된 배포 또는 vCenter Server 시스템의 일부입니다.
Auto Deploy 호스트가 처음으로 부팅될 때 VMCA를 사용할 수 없는 경우 호스트에서 먼저 연결을 시도합니다. 연결할 수 없는 경우 호스트는 VMCA를 사용할 수 있게 되고 서명된 인증서를 사용하여 호스트를 프로비저닝할 수 있을 때까지 종료와 재부팅을 반복합니다.
Auto Deploy를 타사 CA(인증 기관)의 하위 CA(인증 기관)로 만들 수 있습니다. 이 경우 생성된 인증서는 Auto Deploy SSL 키로 서명됩니다. Auto Deploy를 하위 CA(인증 기관)로 설정의 내용을 참조하십시오.
ESXi 8.0 이상에서는 Auto Deploy에서 사용자 지정 인증서(CA(인증 기관)에서 서명한 인증서)를 사용할 수 있습니다. 호스트가 시작되면 Auto Deploy는 사용자 지정 인증서를 ESXi 호스트의 MAC 주소 또는 BIOS UUID와 연결합니다. Auto Deploy와 함께 사용자 지정 인증서 사용의 내용을 참조하십시오.
ESXi 인증서 관리에 필요한 권한
사용자가 ESXi 호스트 인증서를 관리하려면 권한이 필요합니다.
ESXi 호스트 이름 및 IP 주소 변경 사항
ESXi 호스트 이름 또는 IP 주소 변경은 vCenter Server가 호스트 인증서를 유효한 인증서로 고려하는지 여부에 영향을 미칠 수 있습니다. ESXi 호스트를 vCenter Server에 추가하는 방식은 수동 작업이 필요한지 여부에 영향을 미칩니다. 수동 작업은 호스트를 다시 연결하거나 vCenter Server에서 호스트를 제거한 후 다시 추가하는 것을 의미합니다.
다음을 사용하여 vCenter Server에 추가된 ESXi 호스트... | ESXi 호스트 이름 변경 | ESXi IP 주소 변경 |
---|---|---|
호스트 이름 | vCenter Server 연결 문제. 수동 작업이 필요합니다. | 작업이 필요하지 않습니다. |
IP 주소 | 작업이 필요하지 않습니다. | vCenter Server 연결 문제. 수동 작업이 필요합니다. |