vSphere Authentication Proxy에서 사용자 지정 인증서를 사용하려면 몇 가지 단계를 수행해야 합니다. 먼저 CSR을 생성하고 CA에 보내 서명을 받습니다. 그런 다음 서명된 인증서와 키 파일을 vSphere Authentication Proxy에서 액세스할 수 있는 위치에 배치합니다.
기본적으로 vSphere Authentication Proxy는 처음 부팅 시 CSR을 생성하고 해당 CSR에 서명하도록 VMCA에 요청합니다. vSphere Authentication Proxy는 해당 인증서를 사용하여 vCenter Server에 등록합니다. 사용자 지정 인증서를 vCenter Server에 추가하면 이러한 인증서를 환경에서 사용할 수 있습니다.
프로시저
- vSphere Authentication Proxy용 CSR 생성
- 다음 예와 같이 구성 파일 /var/lib/vmware/vmcam/ssl/vmcam.cfg를 생성합니다.
[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:vcenter1.example.com
[ req_distinguished_name ]
countryName = US
stateOrProvinceName = NY
localityName = New York
0.organizationName = Example Inc.
organizationalUnitName = IT Org
commonName = vcenter1.example.com
다음에 유의하십시오.
- subjectAltName: DNS:FQDN_of_vCenter_Appliance_to_use_the_CA-signed certificate 형식을 사용합니다.
- commonName: subjectAltName에 사용되는 vCenter Appliance의 동일한 FQDN을 사용합니다.
- openssl을 실행하여 CSR 파일과 키 파일을 생성하고 구성 파일에 전달합니다.
openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
- 다음 위치에 저장된 rui.crt 인증서와 rui.key 파일을 백업합니다.
/var/lib/vmware/vmcam/ssl/rui.crt
- vSphere Authentication Proxy 등록 취소
- camregister 스크립트가 있는 /usr/lib/vmware-vmcam/bin 디렉토리로 이동합니다.
- 다음 명령을 실행합니다.
camregister --unregister -a VC_address -u user
user는
vCenter Server에 대한 관리자 사용 권한이 있는 vCenter Single Sign-On 사용자여야 합니다.
- vSphere Authentication Proxy 서비스를 중지합니다.
도구 |
단계 |
vCenter Server 구성 관리 인터페이스 |
- 웹 브라우저에서 vCenter Server 구성 관리 인터페이스 https://vcenter-IP-address-or-FQDN:5480으로 이동합니다.
- 루트로 로그인합니다.
기본 루트 암호는 vCenter Server를 배포하는 중에 설정하는 암호입니다.
- 서비스를 클릭하고 VMware vSphere Authentication Proxy를 클릭합니다.
- 중지를 클릭합니다.
|
CLI |
service-control --stop vmcam
|
- 기존 rui.crt 인증서와 rui.key 파일을 CA에서 받은 파일로 교체합니다.
- vSphere Authentication Proxy 서비스를 다시 시작합니다.
- 새 인증서와 키를 사용해 vSphere Authentication Proxy를 vCenter Server에 명시적으로 재등록합니다.
camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key