일부 키 서버(KMS) 벤더의 경우, CSR(인증서 서명 요청)을 생성한 후 이 CSR을 키 서버 벤더에 보내야 합니다. 키 서버 벤더는 CSR에 서명하고 서명된 인증서를 반환합니다. 서명된 인증서를 신뢰할 수 있는 키 제공자의 클라이언트 인증서로 구성하면, 키 서버는 신뢰할 수 있는 키 제공자로부터 들어오는 트래픽을 수락합니다.

이 작업은 2단계 프로세스입니다. 먼저 CSR을 생성하여 키 서버 벤더에 보냅니다. 그런 다음 키 서버 벤더로부터 받은 서명된 인증서를 업로드합니다.

사전 요구 사항

프로시저

  1. 신뢰 기관 클러스터의 vCenter Server에 연결되어 있는지 확인합니다. 예를 들어 $global:defaultviservers를 입력하여 연결된 모든 서버를 표시할 수 있습니다.
  2. (선택 사항) 필요한 경우 다음 명령을 실행하여 신뢰 기관 클러스터의 vCenter Server에 연결되어 있는지 확인할 수 있습니다.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. 변수에 Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 정보를 할당합니다.
    예:
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA

    이러한 작업을 순서대로 수행하는 경우, 이전에 Get-TrustAuthorityCluster 정보를 변수에 할당했습니다(예: $vTA = Get-TrustAuthorityCluster 'vTA Cluster').

    이 변수는 지정된 신뢰 기관 클러스터에서 신뢰할 수 있는 키 제공자를 가져옵니다(이 경우 $vTA).
    참고: 신뢰할 수 있는 키 제공자가 둘 이상이면, 다음과 유사한 명령을 사용하여 원하는 항목을 선택합니다.
    Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
    <The trusted key providers listing is displayed.>
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1

    Select-Object -Last 1를 사용하면 목록의 마지막에 있는 신뢰할 수 있는 키 제공자가 선택됩니다.

  4. CSR을 생성하려면 New-TrustAuthorityKeyProviderClientCertificateCSR cmdlet을 사용합니다.
    예:
    New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
    CSR이 표시됩니다. Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp cmdlet을 사용하여 CSR을 가져올 수도 있습니다.
  5. 서명된 인증서를 가져오려면 CSR을 키 서버 벤더에 제출합니다.
    인증서는 PEM 형식이어야 합니다. 인증서가 PEM이 아닌 형식으로 반환되면 openssl 명령을 사용하여 PEM으로 변환합니다. 예:
    • 인증서를 CRT에서 PEM 형식으로 변환하려면 다음을 수행합니다.
      openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
    • 인증서를 DER에서 PEM 형식으로 변환하려면 다음을 수행합니다.
      openssl x509 -inform DER -in clientcert.der -out clientcert.pem
  6. 키 서버 벤더로부터 서명된 인증서를 받으면 Set-TrustAuthorityKeyProviderClientCertificate cmdlet을 사용하여 인증서를 키 서버에 업로드합니다.
    예:
    Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>

결과

신뢰할 수 있는 키 제공자가 키 서버와 신뢰를 설정했습니다.