[vSphere] ESXi Host 인증서 교체

2020. 11. 24. 14:35ETC

통상적으로 고객사에서 Host의 인증서까지 교체하는 일은 많이 없지만, 교체를 해줘야하는 경우가 간혹 있습니다.

 

오늘은 지난번 AD CA에서 다뤘던 인증서 템플릿을 이용해

 

ESXi Host의 인증서를 교체하는 방법을 알아보려 합니다.

 

Cluster 내에 있는 ESXi Host의 경우 유지보수 모드로의 전환이 필요합니다.

ESXi Host의 인증서는 Wild Card 인증서를 권장하지 않습니다. 별개 호스트용 인증서를 발급해 사용해주세요.

 

 

1. 인증서 템플릿 생성 및 인증서 발급 (Horizon 자체 서명 CA 인증서 등록 포스팅 참조) - 사실 지난번 사용한 웹서버 인증 템플릿이 있다면, 템플릿을 따로 만들 필요는 없지만 구분을 위해 새로 생성하여 테스트 진행하겠습니다.

ESXi 라는 이름의 템플릿 생성

 

2. 인증서를 사용할 FQDN 기반으로 인증서 발급 (전 포스팅에서 사용했던 구분 이름 vdm은 Horizon Connection Server에서 사용하는 식별자이므로 사용하실 필요 없습니다.)

test-esxi.youngwoo.local 이라는 주소 인증에 사용할 인증서 발급

 

3. 인증서 내보내기 및 OpenSSL을 통한 인증서 형식 변환 (Key, PEM Key, crt 로 변환)

여기서 저희가 사용할 Key는 PEM Key와 Crt 파일 입니다.

 

4. ESXi Host에 WinSCP를 사용하여 접속, /etc/vmware/ssl 경로에 기본적으로 생성된 rui.crt, rui.key 파일 백업

 

5. 기존에 생성한 rui.crt 복사, rui_PEM.key 의 이름을 rui.key로 변경하여 복사 (처음부터 PEM Key의 이름을 rui.key로 생성하셔도 상관 없으나, pem key가 아닌 일반 key 를 사용할 경우 웹서비스가 제대로 올라오지 않으니 잘 구분하시고, 변환해 주세요.)

인증서에서 변환한 crt, pem key를 각각 rui.crt, rui.key 로 이름 변경 후 Host에 복사

 

6. Host 재부팅 (or 콘솔에 services.sh restart 입력) 및 ESXi 웹페이지 접속 - 정상 적용 확인

 

이상입니다.

감사합니다.