안녕하세요?
최근, 파트너 대상으로 한 "vCeneter 인증서의 이해" 기술웨비나 내용을 리마인드 겸 포스팅합니다.
vCenter의 내부의 서비스들은 별도의 인증서를 가진 서비스들이 다수 있으며, 일반적으로 vCenter 내부의 자체의 인증서버인 VMCA(VMware Certificate Authority)에서 인증을 받아 사용하고 있습니다. 또한, 해당 인증서들은 VECS(VMware Endopoint Certificate Store)라는 별도의 레포지토리에 저장하여 관리하는 구조로 되어있습니다.
인증서 기간은 이전에는 10년 단위였으나 아마, 6.5~6.7 버전 쯤해서 변경이 되어 2년으로 모두 바뀌었습니다.
가장 많이 언급되는 인증서 종류들은 STS / Solution User / Machine SSL 3가지이나 그 외에도 인증서가 몇 가지 더 있으며 만료됐을 경우, 각각의 인증서마다 갱신방법이 상이하기 때문에 리서치 후 작업을 진행하여야 합니다.
STS(Security Token Service)
- 내부 SSO인증 서비스가 인증을 위한 발급용 SAML 토큰을 서명할 떄 사용되는 인증서
- 만료되기 전에는 UI를 통해서 교체가 가능함
- KB79248의 Checksts.py 파일 또는 vCenter의 ldapsearch를 통해 조회가 가능함.
VMCA
- vCenter 자체에 구축되어 있는 CA의 Root CA
- 내장된 Certool(/usr/lib/vmware-vmca/bin/certool) 또는 인증서 레포지토리인 VECS에서 조회함.
- 당연한 이야기겠지만, 갱신할 경우 다른 모든 인증서를 다시 갱신하여야 한다.
Machine/Solution User Cert
- KB(82332)의 가이드에 따라 명령줄로 조회가 가능 조회될 때, 언급하지 않은 다른 인증서들도 조회가 되는데, 혹 만료가 되었다면 각각 갱신작업을 진행하여야 한다.
[*] Store : MACHINE_SSL_CERT
Alias : __MACHINE_CERT ## Machine SSL 인증서
Not After : May 16 16:19:55 2025 GMT
[*] Store : TRUSTED_ROOTS ### Root Cert
Alias : a28819643eda32ab576c7d732764fded7782ca50
Not After : May 11 04:19:53 2033 GMT
[*] Store : machine ### Solution User Certificates
Alias : machine
Not After : May 11 04:19:53 2033 GMT
[*] Store : vsphere-webclient ### Solution User Certificates
Alias : vsphere-webclient
Not After : May 11 04:19:53 2033 GMT
[*] Store : vpxd ### Solution User Certificates
Alias : vpxd
Not After : May 11 04:19:53 2033 GMT
[*] Store : vpxd-extension ### Solution User Certificates
Alias : vpxd-extension
Not After : May 11 04:19:53 2033 GMT
[*] Store : hvc ### Other Certificates
Alias : hvc
Not After : May 11 04:19:53 2033 GMT
[*] Store : data-encipherment ### Other Certificates
Alias : data-encipherment
Not After : May 11 04:19:53 2033 GMT
[*] Store : SMS ### Other Certificates
Alias : sms_self_signed
Not After : May 17 04:24:00 2033 GMT
Alias : sps-extension ### Other Certificates
Not After : May 11 04:19:53 2033 GMT
Alias : 4c4c4544-0053-3110-8050-c7c04f393333
Not After : May 11 04:19:53 2033 GMT
Alias : 4c4c4544-0053-3110-804c-c7c04f393333
Not After : May 11 04:19:53 2033 GMT
Alias : 4c4c4544-0053-3210-8050-c7c04f393333
Not After : May 11 04:19:53 2033 GMT
Alias : 4c4c4544-0043-3010-804d-b5c04f434d32
Not After : May 11 04:19:53 2033 GMT
[*] Store : wcp ### Other Certificates
Alias : wcp
Not After : May 11 04:19:53 2033 GMT
[*] Store : APPLMGMT_PASSWORD인증서의 만료만으로도 전체서비스에 영향이 있을 수 있기 때문에, 만료 기간에 대한 관리가 필수라고 생각되며, 갱신을 하더라도 방법이 KB로 확인되지 않는 내용들은 직접 진행하기 보다는, GS팀과 같이 진행하는편이 안전하지 않을까 싶습니다.
감사합니다.
'VMware > vSphere' 카테고리의 다른 글
| [vSphere] VM의 vMotion이 비활성화 되는 현상에 관하여 (0) | 2023.04.01 |
|---|---|
| [vSphere] vCenter의 vSphere-ui Status 에러 (0) | 2022.12.19 |
| [vSphere]VM에서 HotAdd/HotPlug 기능 비활성화 (0) | 2021.11.03 |
| [vSphere] 데이터스토어 파일 다운로드시 500 에러 발생의 건 (0) | 2020.10.28 |
| [vSphere]vSphere 7 GA ! (0) | 2020.04.06 |