[유지보수] VMware Horizon Connection Server 인증서 갱신

Intro

SSL/TLS 인증서란?
SSL(Secure Sockets Layer)인증서는 암호화 기반 인터넷 통신 보안 프로토콜이다. 인터넷 통신의 개인정보 보호, 인증, 데이터 무결성을 보장하기위해 개발되었으며, SSLv.3.0 버전 이후부터 TLS(Transport layer Security)로 명칭이 변경되었다. 
 
CA(Certificate Authority)에서 인증된 SSL/TLS인증서란?
CA(Certificate Authority)는 인증기관이란 의미이다. CA에서 인증된 인증서란, 신뢰할 수 있는 공개 인증 기관에서 서명한 SSL/TLS 인증서를 말한다. CA에서 인증된 SSL/TLS 인증서 및 프로토콜은 사용자를 인증하고, 통신상의 데이터를 암/복호화하며 공개 웹 사이트에 대한 악의적인 위/변조 공격으로부터 데이터를 보호하는 역할을 한다. CA인증서의 유효기간은 2015년 이후부터 1년 단위로 갱신하도록 규제한다.
 
자체 서명된 SSL/TLS 인증서란?
신뢰할 수 있는 공개 인증 기관에서 인증한 인증서가 아닌, 해당 웹사이트를 담당하는 개발자 또는 회사에서 서명한 인증서를 말한다. 자체 인증서는 신뢰할 수 있는 인증기관에서 서명한 인증서가 아니기 때문에 일반적으로 Application 및 Web-Site에서 안전하지 않은 것으로 간주한다. 자체인증서의 유효기간은 규제 대상이 아니기 때문에 만료일이 다양할 수 있다.

Horizon SSL/TLS 인증서 기본 구성
연결서버 인스턴스를 설치하면 서버에 자체 서명된 SSL/TLS인증서가 vdm 이름으로 생성된다. 이 인증서는 연결서버 인스턴스 간, 연결서버 인스턴스와 Horizon Agent간 통신 인증에 사용된다. 

 

 

Horizon 연결서버 인증서 갱신

연결서버 인증서 갱신 절차

1) 인증서 반입

2) 연결서버 구성 백업  및 연결서버 서비스 Disable 변경
3) 인증서 설치 및 이름 변경, 연결서버 재기동
4) 연결서버 서비스 Enable 및 서비스 정상화 확인

 

인증서 반입 

Horizon 윈도우 서버 내의 바탕화면에 인증서 반입

 

연결서버 구성 백업  및 연결서버 서비스 Disable 변경

1) Horizon View Administrator 웹 페이지 접속
2) 서비스 중인 모든 연결서버 구성 백업 
  - 설정 → 서버 → 연결서버 → 연결서버 선택 → 지금 백업 

3) 관리서버 스냅샷 생성 (Horizon 연결서버)

4) 작업대상 연결 서버 서비스 비활성화
 - 설정 → 서버 → 연결서버 → 작업대상 연결 서버 선택 → 사용 안함

연결서버 구성 백업 및 사용 안 함 설정

 

인증서 설치 및 이름 변경, 연결서버 재기동

1) 로컬 컴퓨터 인증서 매니저 실행
  - Microsoft Management Console 실행 (mmc.exe) 
  - 파일 → 스냅인 추가/제거 →  인증서 추가→ 컴퓨터 계정(C) → 로컬 컴퓨터 →  마침 →  확인

로컬 컴퓨터 인증서 매니저 실행

2) 신규 인증서 등록
  - 인증서(로컬 컴퓨터) → 개인용 (우클릭) →  모든 작업 →  가져오기
  - 동록 할 인증서 선택 → 암호 작성  →  '이 키를 내보낼 수 있도록 표시' 옵션 선택 →  마침(F)

pfx 인증서 가져오기

3) 신규 인증서/기존 인증서 이름 변경
  - 기존 인증서 우클릭 → 속성 → 이름을 vdm_bak으로 변경 → 확인
  - 신규 등록한 인증서 우클릭 → 속성 → 이름을 vdm으로 변경 → 확인
4) 연결서버 재기동

shutdown -r -t 0

 

Horizon 윈도우 서버 서비스 정상화 확인

1) Horizon 서비스 확인(services.msc)

 - Horizon 관련 서비스 모두 정상적으로 '실행 중' 인지 확인

2) Application/System 이벤트 로그 확인(eventvwr)

 - Horizon 서비스 관련 Critical한 Error/Warning 로그 존재 여부 확인 

3) 연결서버 간 LDAP 동기화 상태 확인

 - repadmin.exe /showrepl localhost:389 DC=vdi,DC=vmware,DC=int

 - 마지막 동기화 시도 시간에 대한 '성공하였습니다' 메시지를 통해 정상 동기화 확인

4) Horizon 서비스 프로세스 정상화 확인

 - TomcatService.exe 프로세스 Active Memory 1.5G 이상 사용 확인 후 작업대상 View Administrator Web 접속 및 로그인

 

Horizon View Administrator 웹 페이지 접속 & 서비스 활성화

1) Horizon View Administrator 웹 페이지 접속 (작업 대상이 아닌 서버로 접속)
2) 작업 완료된 연결서버 서비스 활성화
 - 설정 → 서버 → 연결서버 → 작업대상 연결 서버 선택 → 사용
3) 신규 인증서 정상 반영 여부 확인
 - 모니터 → 대시보드 → 보기 →  서비스 상태 확인, TLS 인증서 경고 사라진 상태 확인