VMCA(VMware Certificate Authority)를 사용하여 호스트에 인증서를 할당하면 vSphere Client에서 해당 인증서를 갱신할 수 있습니다. VMCA 인증서 또는 사용자 지정 인증서를 사용하는 경우 vCenter Server와 연결된 TRUSTED_ROOTS 저장소에서 모든 인증서를 새로 고칠 수 있습니다.
인증서가 곧 만료되는 경우 또는 다른 이유로 새 인증서로 호스트를 프로비저닝하려는 경우 vSphere Client를 사용하여 VMCA 인증서를 갱신할 수 있습니다. VMCA 인증서가 만료되기 전에 갱신하지 않을 경우 호스트의 연결을 끊었다가 다시 연결하면 vCenter Server에서 인증서를 갱신합니다. 호스트를 vCenter Server에 다시 추가하여 신뢰가 다시 설정되고 vCenter Server가 갱신된 인증서를 무조건 발급할 수 있습니다.
기본적으로 vCenter Server는 호스트가 인벤토리에 추가되거나 다시 연결될 때마다 만료됨, 만료 임박 또는 곧 만료됨 상태인 호스트의 VMCA 인증서를 갱신합니다.
신뢰할 수 있는 루트 인증서의 만료 날짜를 초과하는 만료 날짜로 ESXi 인증서를 갱신할 수 없습니다. 예를 들어 ESXi vpxd.certmgmt.certs.daysValid 고급 옵션이 5년으로 설정되어 있는 경우에도 신뢰할 수 있는 루트 인증서가 2년 후에 만료되도록 설정되어 있으면 ESXi 인증서 만료 날짜는 2년으로 제한됩니다.
vSphere Client를 사용하여 vCenter Server VECS 저장소의 TRUSTED_ROOTS 저장소에 있는 모든 인증서를 ESXi 호스트로 푸시할 수 있습니다. ESXi 호스트에서 신뢰할 수 있는 루트를 새로 고쳐야 하는 경우 이 기능을 사용합니다. 이 기능은 VMCA와 사용자 지정 인증서 모두에 존재합니다.
사전 요구 사항
- VMCA 인증서를 사용하는 경우 인증서 모드가 vmca로 설정됩니다.
- 사용자 지정 인증서를 사용하는 경우 인증서 모드가 사용자 지정으로 설정됩니다.
- ESXi 호스트는 vCenter Server 시스템에 연결되어 있습니다.
- vCenter Server 시스템과 ESXi 호스트 간에 적절한 시간 동기화가 있습니다.
- DNS 확인은 vCenter Server 시스템과 ESXi 호스트 간에 작동합니다.
- vCenter Server 시스템의 MACHINE_SSL_CERT 및 Trusted_Root 인증서가 유효하며 만료되지 않았습니다. VMware 기술 자료 문서(https://kb.vmware.com/s/article/2111411)를 참조하십시오.
- ESXi 호스트가 유지 보수 모드로 설정되지 않았습니다.