vCenter CA 루트 인증서 가져오기

이 문서에서는 vCenter 서버의 루트 인증서를 가져오는 방법을 보여줍니다.

VMware용 GKE와 같은 클라이언트에서 vCenter Server로 요청을 전송하면 서버는 인증서나 인증서 번들을 제공하여 클라이언트에 해당 ID를 입증해야 합니다. 인증서나 번들을 확인하려면 VMware용 GKE에 트러스트 체인의 루트 인증서가 있어야 합니다.

관리자 워크스테이션 구성 파일을 입력할 때 vCenter.caCertPath 필드에 루트 인증서 경로를 제공합니다.

VMware 설치에는 vCenter Server에 인증서를 발급하는 인증 기관(CA)이 포함됩니다. 신뢰 체인의 루트 인증서는 VMware에서 생성된 자체 서명 인증서입니다.

기본값인 VMWare CA를 사용하지 않을 경우 다른 인증 기관을 사용하도록 VMware를 구성할 수 있습니다.

사용자의 vCenter 서버가 기본 VMware CA에서 발급한 인증서를 사용하는 경우 다음과 같이 인증서를 다운로드합니다.

curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

[SERVER_ADDRESS]를 vCenter 서버의 주소로 바꿉니다.

unzip 명령어를 설치하고 인증서 파일의 압축을 풉니다.

sudo apt-get install unzip
unzip download.zip

처음에 unzip 명령어가 작동하지 않으면 명령어를 다시 입력합니다.

certs/lin에서 인증서 파일 및 해지 파일을 찾습니다. 예를 들면 다음과 같습니다.

457a65e8.0
457a65e8.r0

앞의 예시에서 457a65e8.0은 인증서 파일이고 457a65e8.r0은 해지 파일입니다.

인증서 파일 이름을 원하는 이름으로 바꿀 수 있습니다. 파일 확장자로 .pem을 사용할 수 있지만 반드시 .pem일 필요는 없습니다.

예를 들어 인증서 파일 이름을 vcenter-ca-cert.pem으로 바꾼다고 가정해보세요.

vcenter-ca-cert.pem의 콘텐츠를 확인합니다.

cat vcenter-ca-cert.pem

출력에 base64 인코딩 인증서가 표시됩니다. 예를 들면 다음과 같습니다.

-----BEGIN CERTIFICATE-----
MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD
VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ
FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV
...
0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA
76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB
-----END CERTIFICATE-----

디코딩된 인증서를 확인합니다.

openssl x509 -in vcenter-ca-cert.pem -text -noout

출력은 디코딩된 인증서를 보여줍니다. 예를 들면 다음과 같습니다.

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f5:b5:6a:46:2b:4b:92:fa
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Validity
            ...
        Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
                    89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
                    6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
                    ...
                    5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
                    18:bf
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            ...
    Signature Algorithm: sha256WithRSAEncryption
         58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
         0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
         ...
         ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
         0d:bd:56:41

인증서 파일을 원하는 위치에 복사합니다.

그런 후 구성 파일에서 caCertPath의 값을 제공해야 할 때 인증서 파일의 경로를 입력합니다.

예를 들어 관리자 워크스테이션 구성 파일에서 다음을 수행합니다.

gcp:
  ...
vCenter:
  ...
  caCertPath: "/path/to/vcenter-ca-cert.pem"