이 문서에서는 vCenter 서버의 루트 인증서를 가져오는 방법을 보여줍니다.
Google Distributed Cloud와 같은 클라이언트가 vCenter 서버로 요청을 전송할 때 서버는 인증서 또는 인증서 번들을 제공하여 클라이언트에 해당 ID를 입증해야 합니다. 인증서나 번들을 확인하려면 VMware용 GKE에 트러스트 체인의 루트 인증서가 있어야 합니다.
관리자 워크스테이션 구성 파일을 입력할 때 vCenter.caCertPath
필드에 루트 인증서 경로를 제공합니다.
VMware 설치에는 vCenter Server에 인증서를 발급하는 인증 기관(CA)이 포함됩니다. 신뢰 체인의 루트 인증서는 VMware에서 생성된 자체 서명 인증서입니다.
기본값인 VMWare CA를 사용하지 않을 경우 다른 인증 기관을 사용하도록 VMware를 구성할 수 있습니다.
사용자의 vCenter 서버가 기본 VMware CA에서 발급한 인증서를 사용하는 경우 다음과 같이 인증서를 다운로드합니다.
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
[SERVER_ADDRESS]를 vCenter 서버의 주소로 바꿉니다.
unzip
명령어를 설치하고 인증서 파일의 압축을 풉니다.
sudo apt-get install unzip unzip download.zip
처음에 unzip 명령어가 작동하지 않으면 명령어를 다시 입력합니다.
certs/lin
에서 인증서 파일 및 해지 파일을 찾습니다. 예를 들면 다음과 같습니다.
457a65e8.0 457a65e8.r0
앞의 예시에서 457a65e8.0
은 인증서 파일이고 457a65e8.r0
은 해지 파일입니다.
인증서 파일 이름을 원하는 이름으로 바꿀 수 있습니다. 파일 확장자로 .pem
을 사용할 수 있지만 반드시 .pem
일 필요는 없습니다.
예를 들어 인증서 파일 이름을 vcenter-ca-cert.pem
으로 바꾼다고 가정해보세요.
vcenter-ca-cert.pem
의 콘텐츠를 확인합니다.
cat vcenter-ca-cert.pem
출력에 base64 인코딩 인증서가 표시됩니다. 예를 들면 다음과 같습니다.
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
디코딩된 인증서를 확인합니다.
openssl x509 -in vcenter-ca-cert.pem -text -noout
출력은 디코딩된 인증서를 보여줍니다. 예를 들면 다음과 같습니다.
Certificate: Data: Version: 3 (0x2) Serial Number: f5:b5:6a:46:2b:4b:92:fa Signature Algorithm: sha256WithRSAEncryption Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering Validity ... Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e: 89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa: 6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81: ... 5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38: 18:bf Exponent: 65537 (0x10001) X509v3 extensions: ... Signature Algorithm: sha256WithRSAEncryption 58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c: 0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22: ... ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9: 0d:bd:56:41
인증서 파일을 원하는 위치에 복사합니다.
그런 후 구성 파일에서 caCertPath
의 값을 제공해야 할 때 인증서 파일의 경로를 입력합니다.
예를 들어 관리자 워크스테이션 구성 파일에서 다음을 수행합니다.
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"