일부 키 서버(KMS) 벤더의 경우, CSR(인증서 서명 요청)을 생성한 후 이 CSR을 키 서버 벤더에 보내야 합니다. 키 서버 벤더는 CSR에 서명하고 서명된 인증서를 반환합니다. 서명된 인증서를 신뢰할 수 있는 키 제공자의 클라이언트 인증서로 구성하면, 키 서버는 신뢰할 수 있는 키 제공자로부터 들어오는 트래픽을 수락합니다.
이 작업은 2단계 프로세스입니다. 먼저 CSR을 생성하여 키 서버 벤더에 보냅니다. 그런 다음 키 서버 벤더로부터 받은 서명된 인증서를 업로드합니다.
프로시저
- 신뢰 기관 클러스터의 vCenter Server에 연결되어 있는지 확인합니다. 예를 들어 $global:defaultviservers를 입력하여 연결된 모든 서버를 표시할 수 있습니다.
- (선택 사항) 필요한 경우 다음 명령을 실행하여 신뢰 기관 클러스터의 vCenter Server에 연결되어 있는지 확인할 수 있습니다.
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
- 변수에
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
정보를 할당합니다.
예:
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
이러한 작업을 순서대로 수행하는 경우, 이전에 Get-TrustAuthorityCluster 정보를 변수에 할당했습니다(예: $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
).
이 변수는 지정된 신뢰 기관 클러스터에서 신뢰할 수 있는 키 제공자를 가져옵니다(이 경우
$vTA
).
참고: 신뢰할 수 있는 키 제공자가 둘 이상이면, 다음과 유사한 명령을 사용하여 원하는 항목을 선택합니다.
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
Select-Object -Last 1
를 사용하면 목록의 마지막에 있는 신뢰할 수 있는 키 제공자가 선택됩니다.
- CSR을 생성하려면 New-TrustAuthorityKeyProviderClientCertificateCSR cmdlet을 사용합니다.
예:
New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
CSR이 표시됩니다.
Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp cmdlet을 사용하여 CSR을 가져올 수도 있습니다.
- 서명된 인증서를 가져오려면 CSR을 키 서버 벤더에 제출합니다.
인증서는 PEM 형식이어야 합니다. 인증서가 PEM이 아닌 형식으로 반환되면
openssl 명령을 사용하여 PEM으로 변환합니다. 예:
- 키 서버 벤더로부터 서명된 인증서를 받으면 Set-TrustAuthorityKeyProviderClientCertificate cmdlet을 사용하여 인증서를 키 서버에 업로드합니다.
예:
Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>
결과
신뢰할 수 있는 키 제공자가 키 서버와 신뢰를 설정했습니다.