ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • [유지보수] vCenter VMCA, 호스트 인증서 갱신 가이드
    Virtualization Infra/Server 2023. 11. 28. 11:23

    Intro

    vCenter SSL인증서 갱신 혹은 VMCA 인증서 재 생성에 대한 가이드이다.

     

     

    vCenter 인증서 갱신/재 생성

    vCenter 인증서 갱신 절차

    1. vCenter Server Backup

    2. 기존 인증서 만료일 및 설정값 확인

    3. vCenter 인증서 갱신

    4. 기존에 연동된 솔루션에 vCenter 인증서 재 연결 및 서비스 확인

     

    vCenter Server Backup

    1) vCenter Server VM의 스냅샷을 생성한다. 

    2) vCenter Server 관리 웹에서 vCenter Server backup을 진행한다.

     - https://[vCenter_IP]:5480 접속 → 백업 → 지금 백업 → 백업 위치 및 로그인 계정 입력, 백업 암호화 암호 작성

    → Events,Log 등 함께 backup 여부 선택 → 시작

    관리 vCenter Server에서 backup 구성

     

    기존 인증서 만료일 및 설정값 확인

    호스트의 CLI 환경에서 갱신에 필요한 인증서 목록을 확인한다. 

    #i/bin/bash
    for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; sudo /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

     

    기존 VMCA 인증서의 설정값을 확인한다.

    # 설정값 확인
    cat /usr/lib/vmware-vmca/share/config/certool.cfg
    # Hostname FQDN 확인
    hostname -f
    # VMCA Name 확인 (Appliance)
    /usr/lib/vmware-vmafd//bin/vmafd-cli get-pnid --server-name localhost
    # VMCA Name 확인 (Windows)
    C:\Program Files\VMware\vCenter Server\vmafdd\vmafd-cli.exe get-pnid --server-name localhost

     

    vCenter 인증서 갱신

    1) 인증서 관리자 접속

    # Appliance 
    /usr/lib/vmware-vmca/bin/certificate-manager
    # Windows
    C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager

     

    2) 인증서 갱신 작업방식 선택

    Option 3 : STS 인증서가 유효할 경우 VMCA에서 자체 인증서를 발행할 수 있으며, MachineSSL 인증서를 VMCA 자체 인증서로 교체한다.

    Option 4 : 신규로 VMCA 루트 인증서를 생성하고, 기존의 모든 인증서를 신규 인증서로 교체한다. 

    Option 6 : 솔루션 사용자 인증서를 VMCA 인증서로 교체한다.

    Option 8 : 모든 인증서를 초기화 한다.

     

    인증서 매니저 실행

    3) vCenter 인증서 갱신 시작 (Embedded PSC)

     - hostname, VMCA name은 CLI로 확인한 값 작성 

    - 나머지 값은 default로 지정

     

    만약, External PSC, vCSA로 구성된 환경이라면 둘 다 인증서 갱신을 진행해주어야 하는데, vCSA 인증서 갱신 시 VMCA Name에는 PSC VMCA Name 정보를 넣어주어야 정상적으로 작업이 진행된다.

     

      ※ (주의) 인증서 생성 완료 후 자동으로 vCenter 서비스가 재기동 되며, 약 15분정도 downtime 발생 할 수 있습니다.

     

    기존에 연동된 솔루션에 vCenter 인증서 재 연결

    1) Horizon

    2) VxRail

     - VxRail 장비를 사용하는 경우에 VxRail Manager에서도 인증서 갱신이 필요하지만, vCenter 인증서 서비스에는 영향을 주지 않으며 vCenter 인증서 갱신 후 서비스가 올라오지 않을 경우에는 무조건 설정값 문제로 판단해야 함. 

     

     

    호스트 인증서 갱신

    호스트에 어떻게 인증서가 할당되는가?

    ESXi가 vCenter 서버 시스템에 추가될 때, vCenter가 호스트에 대한 CSR(Certificate Signing Request)을 VMCA에 보내고 VMCA에서 호스트로 인증서를 할당한다.

    호스트 인증서가 만료되기 전 vCenter에서 관리하는 TRUSTED_ROOTS 스토어에서 VMCA 인증서를 받아와 갱신 할 수 있다.

     

     

    호스트 인증서 갱신 방법

     - ESXi 선택 → 구성 → 인증서 → 갱신

     

    Reference

    vCenter VMCA 자체 서명된 인증서 재 생성 방법

    vCenter VMCA 만료 인증서 삭제 방법

    ESXi 인증서 기본설정

    ESXi 호스트 인증서 갱신

     

     

Designed by Tistory.