vSphere 8.0 이상에서는 타사 CA(인증 기관) 또는 자체 내부 CA에서 서명한 사용자 지정 인증서로 ESXi 호스트를 프로비저닝하도록 Auto Deploy 서버를 설정할 수 있습니다. 기본적으로 Auto Deploy 서버는 VMCA(VMware Certificate Authority)에서 서명한 인증서로 ESXi 호스트를 프로비저닝합니다.
vSphere 8.0 이전 버전은 Auto Deploy를 사용하여 인증서를 관리하는 옵션이 다음과 같습니다.
- vCenter Server 및 기본 제공 VMware 인증 기관(기본값)을 사용합니다.
- Auto Deploy를 타사 CA의 하위 CA로 설정합니다. 이 경우 Auto Deploy SSL 키가 인증서에 서명합니다.
vSphere 8.0 이상에서는 타사 CA 또는 자체 내부 CA에서 서명한 사용자 지정 인증서를 Auto Deploy에 업로드할 수 있습니다. Auto Deploy는 사용자 지정 인증서를 ESXi 호스트의 MAC 주소 또는 BIOS UUID와 연결합니다. Auto Deploy 호스트가 시작될 때마다 Auto Deploy는 사용자 지정 인증서가 있는지 확인합니다. Auto Deploy가 사용자 지정 인증서를 찾으면 VMCA를 통해 인증서를 생성하는 대신 찾은 인증서를 사용합니다.
이 작업에 대한 개략적인 단계는 다음과 같습니다.
- 타사 CA 또는 자체 내부 CA에 대한 사용자 지정 인증서 요청을 생성합니다.
- 서명된 사용자 지정 인증서(키 및 인증서)를 확보하여 로컬에 저장합니다.
- 타사 CA를 사용하는 경우 CA의 루트 인증서가 vCenter Server의 TRUSTED_ROOTS 저장소에 업로드되었는지 확인합니다(이전에 수행하지 않은 경우).
- 사용자 지정 인증서를 Auto Deploy에 업로드하고 인증서를 ESXi 호스트의 MAC 주소 또는 BIOS UUID와 연결합니다.
- ESXi 호스트를 부팅합니다.
사용자 지정 인증서를 ESXi 호스트에 할당하면 Auto Deploy에서 다음 부팅 시 Auto Deploy가 인증서를 호스트로 푸시합니다.
사용자 지정 인증서 및 Auto Deploy를 사용하는 경우 다음 고려 사항에 유의하십시오.
- Auto Deploy에 사용되는 사용자 지정 인증서를 관리하려면 PowerCLI Add-CustomCertificate, Remove-CustomCertificate, List-CustomCertificate cmdlet을 사용해야 합니다. vSphere Client에서는 사용자 지정 인증서를 관리하는 기능을 사용할 수 없습니다.
- Auto Deploy에 사용되는 사용자 지정 인증서를 새로 고치려면 Add-CustomCertificate cmdlet을 다시 실행해야 합니다.
- 사용자 지정 인증서에 잠재적인 오류가 있는지 검사해야 합니다. Auto Deploy는 사용자 지정 인증서가 X.509 인증서 표준을 준수하고 인증서의 만료 임계값이 최소 240일로 설정되어 있는지만 확인합니다. Auto Deploy는 다른 인증서 유효성 검사 또는 확인을 수행하지 않습니다. 인증서 임계값을 변경하려면 Set-DeployOption -Key certificate-refresh-threshold cmdlet을 실행하면 됩니다.
- 나중에 Remove-CustomCertificate cmdlet을 사용하여 ESXi 호스트에서 사용자 지정 인증서를 제거하는 경우 호스트를 다시 시작해야 변경 내용이 적용됩니다.
사용자 지정 인증서 및 Auto Deploy에 대한 자세한 내용은 "VMware ESXi 설치 및 설정" 설명서를 참조하십시오.
사전 요구 사항
다음 사항이 있는지 확인합니다.
- CA(인증 기관)의 인증서를 요청합니다. 인증서는 다음 요구 사항을 충족해야 합니다.
- 키 크기: 2048비트(최소)~8192비트(최대)(PEM 인코딩)
- PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.
- x509 버전 3
- CRT 형식
- CA 확장이 true로 설정됨
- 인증서 서명의 키 사용
- 현재 시간 하루 전 시작 시간
참고: vSphere의 FIPS 인증서는 2048비트 및 3072비트의 RSA 키 크기만 검증합니다.
FIPS 사용 시 고려 사항의 내용을 참조하십시오.
- ESXi 호스트 MAC 주소 또는 BIOS UUID. 어떤 방식이 환경에 가장 적합할지 평가합니다. BIOS UUID는 MAC 주소보다 더 안정적이며 변경될 가능성이 적습니다. ESXi 호스트에서 네트워크 어댑터를 변경하면 MAC 주소가 변경됩니다. 그러나 MAC 주소는 BIOS UUID보다 얻기 쉽고 작업하기에 더 익숙할 수 있습니다.
- PowerCLI 버전 12.6.0 이상. Auto Deploy PowerCLI cmdlet에 대한 자세한 내용은 "VMware ESXi 설치 및 설정" 설명서에서 Auto Deploy PowerCLI Cmdlet 개요 항목을 참조하십시오.
다음 권한이 있는지 확인합니다.
- 사용자 지정 인증서 추가:
- 사용자 지정 인증서 정보 가져오기:
프로시저
- 인증서 요청을 생성합니다.
- 인증서 요청에 대해 이전에 나열된 요구 사항을 사용하여 구성(.cfg) 파일을 생성합니다.
- CSR 파일과 키 파일을 생성하려면 openssl req 명령을 실행하여 구성(.cfg) 파일을 전달합니다.
예:
openssl req -new -config custom_cert.cfg -days 4200 -sha256 -keyout rui.key -out rui.csr
이 명령에서:
-new
는 새 인증서 요청을 생성합니다.
-config custom_cert.cfg
는 사용자 지정 .cfg 파일을 지정합니다.
-days 4200
은 인증서를 인증할 기간을 4200일로 지정합니다.
-sha256
은 요청에 서명할 메시지 다이제스트를 지정합니다.
-keyout rui.key
는 새로 생성된 개인 키를 쓸 파일을 지정합니다.
-out rui.csr
은 출력을 쓸 파일을 지정합니다.
- 타사 CA에 인증서 요청을 보내거나, 자체 인증서에 서명한 경우에는 openssl x509 -req 명령을 실행하여 rui.csr 파일에서 사용자 지정 인증서를 생성합니다.
예:
openssl x509 -req -in rui.csr -CA "/etc/vmware-rbd/ssl/rbd-ca.crt" -CAkey \
"/etc/vmware-rbd/ssl/rbd-ca.key" -extfile \
openssl.cfg -extensions x509 -CAserial "/etc/vmware-rbd/ssl/rbd-ca.srl" -days \
4200 -sha256 -out signed_rui.crt
이 명령에서:
-in rui.csr
은 입력 파일을 지정합니다.
-CA "/etc/vmware-rbd/ssl/rbd-ca.crt"
는 서버 인증서 확인에 사용할 디렉토리를 지정합니다.
-CAkey "/etc/vmware-rbd/ssl/rbd-ca.key"
는 인증서에 서명하는 데 사용할 CA 개인 키를 설정합니다.
-extfile openssl.cfg
는 인증서 확장을 읽을 선택적 구성 파일을 추가로 지정합니다.
-extensions x509
는 x509 인증서 확장을 사용하도록 지정합니다.
-CAserial "/etc/vmware-rbd/ssl/rbd-ca.srl"
은 rbd-ca.srl의 일련 번호를 사용하여 인증서에 서명합니다.
-days 4200
은 인증서를 인증할 기간을 4200일로 지정합니다.
-sha256
은 요청에 서명할 메시지 다이제스트를 지정합니다.
-out signed_rui.crt
은 출력을 쓸 파일을 지정합니다.
- (선택 사항) 이전에 서명 CA(인증 기관)의 인증서를 VECS(VMware Endpoint 인증서 저장소) 내부의 TRUSTED_ROOTS 저장소에 업로드하지 않은 경우 Auto Deploy 서비스가 실행되는 vCenter Server에서 다음 단계를 수행합니다.
- WinSCP와 같은 도구를 사용하여 인증서를 vCenter Server에 복사합니다.
- SSH를 사용하여 vCenter Server에 로그인하고 다음 명령을 실행합니다.
/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_ca_certificate
- ESXi 호스트 MAC 주소 또는 BIOS UUID를 가져옵니다.
- 다음 단계를 수행하여 사용자 지정 인증서를 Auto Deploy에 추가합니다.
- vCenter Server에 연결하려면 Connect-VIServer cmdlet을 실행합니다.
Connect-VIServer -server VC_ip_address -User administrator_user -Password 'password'
- (선택 사항) 기존 사용자 지정 인증서를 보려면 Get-CustomCertificates cmdlet을 실행합니다.
사용자 지정 인증서를 처음 추가하면 이 cmdlet에서 반환된 인증서가 표시되지 않습니다.
- 사용자 지정 인증서를 ESXi 호스트와 연결하려면 Add-CustomCertificate cmdlet을 실행합니다.
Add-CustomCertificate -HostID [MAC_Address | BIOS_UUID] -Certificate "path_to_custom_cert" -Key "path_to_custom_cert_key"
호스트의 MAC 주소 또는 BIOS UUID를 지정할 수 있습니다. Auto Deploy가 사용자 지정 인증서를 호스트에 업로드합니다.
- 인증서가 업로드되었는지 확인하려면 Get-CustomCertificates cmdlet을 실행합니다.
다음과 유사한 출력이 표시됩니다.
Name: CustomHostCert-1
CertificateId: 1
HostId: 02:08:b0:8e:18:a2
ExpirationTime: 1 2/28/2033 10:45:50 AM
TimeCreated: 9/29/2022 7:40:28 AM
LastModified: 9/29/2022 7:40:28 AM
AssociatedHostName:
지금은
AssociatedHostName
이 비어 있습니다. 호스트를 시작하면 사용자 지정 인증서와 연결된
ESXi 호스트의 이름이 출력에 반영됩니다.
- ESXi 호스트를 시작합니다.
- 사용자 지정 인증서가 vCenter Server와 연결되어 있는지 확인하려면
Get-CustomCertificates
cmdlet을 다시 실행합니다.
다음과 유사한 출력이 표시됩니다.
Name: CustomHostCert-1
CertificateId: 1
HostId: 02:08:b0:8e:18:a2
ExpirationTime: 1 2/28/2033 10:45:50 AM
TimeCreated: 9/29/2022 7:40:28 AM
LastModified: 9/29/2022 7:40:28 AM
AssociatedHostName: host1.example.com
이제
AssociatedHostName
에
ESXi 호스트의 이름이 포함됩니다.