회사의 보안 정책에 따라 모든 호스트에서 기본 ESXi SSL 인증서를 타사의 CA(인증 기관) 서명 인증서로 교체해야 할 수도 있습니다.

기본적으로 vSphere 구성 요소는 설치 중 생성된 VMCA 서명된 인증서와 키를 사용합니다. 잘못해서 VMCA 서명된 인증서를 삭제하는 경우 해당 vCenter Server 시스템에서 호스트를 제거하고 다시 추가합니다. 호스트를 추가할 때 vCenter Server는 VMCA에서 새 인증서를 요청하고 이 인증서를 사용하여 호스트를 프로비저닝합니다.

회사 정책에 필요한 경우 VMCA 서명 인증서를 상업용 CA 또는 조직 CA 등 신뢰할 수 있는 CA(인증 기관)에서 발급한 인증서로 교체할 수 있습니다.

vSphere Client 또는 CLI를 사용하여 기본 인증서를 사용자 지정 인증서로 교체할 수 있습니다.

참고: vSphere Web Services SDK의 vim.CertificateManagervim.host.CertificateManager 관리 개체를 사용할 수도 있습니다. vSphere Web Services SDK 설명서를 참조하십시오.

인증서를 교체하기 전에 vCenter ServerESXi 호스트가 신뢰 관계를 가질 수 있도록 호스트를 관리하는 vCenter Server 시스템의 VECS에서 TRUSTED_ROOTS 스토어를 업데이트해야 합니다.

참고: vSAN 클러스터의 일부인 ESXi 호스트에서 SSL 인증서를 교체하는 경우 https://kb.vmware.com/s/article/56441에서 VMware 기술 자료 문서에 나와 있는 단계를 수행하십시오.

사용자 지정 인증서에 대한 ESXi 인증서 서명 요청 요구 사항

이러한 특성의 CSR을 사용합니다.

  • 키 크기: 2048비트(최소)~8192비트(최대)(PEM 인코딩)
  • PEM 형식. VMware는 PKCS8 및 PKCS1(RSA 키)을 지원합니다. 키가 VECS에 추가되면 추가된 키가 PKCS8로 변환됩니다.
  • x509 버전 3
  • 루트 인증서의 경우 CA 확장을 true로 설정해야 하며 인증서 서명이 요구 사항 목록에 있어야 합니다.
  • SubjectAltName에는 DNS Name=<machine_FQDN>이 포함되어야 합니다.
  • CRT 형식
  • 다음과 같은 키 사용이 포함되어 있습니다. 디지털 서명, 키 암호화
  • 현재 시간 하루 전 시작 시간
  • ESXi 호스트가 vCenter Server 인벤토리에 가지고 있는 호스트 이름(또는 IP 주소)으로 설정된 CN (및 SubjectAltName).
참고: vSphere의 FIPS 인증서는 2048비트 및 3072비트의 RSA 키 크기만 검증합니다. FIPS 사용 시 고려 사항의 내용을 참조하십시오.
vSphere는 다음 인증서를 지원하지 않습니다.
  • 와일드카드가 있는 인증서.
  • md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 및 sha1WithRSAEncryption 알고리즘은 지원되지 않습니다.

vSphere Client를 사용하여 CSR을 생성하려면 vSphere Client를 사용하여 사용자 지정 인증서에 대한 인증서 서명 요청 생성 항목을 참조하십시오.

CLI를 사용하여 CSR을 생성하는 방법에 대한 자세한 내용은 https://kb.vmware.com/s/article/2113926에서 VMware 기술 자료 문서를 참조하십시오.