루트 인증서 기본과 vSphere의 인증서

[개요]

루트 인증서에 대한 간략한 정보와 vSphere에서 사용되는 인증서 정리

[루트 인증서의 기본 개념]

체인 오브 트러스트

Root Certificate(루트 인증서)

공개 키 암호화의 중심이 되는 역할
신뢰할 수 있는 기관(CA)에서 발급한 공개 키의 모음
모든 장치에는 루트 저장소가 있으며, 일반적으로 OS의 경우에는 해당 OS에 고유한 루트 저장소가 있음
신뢰할 수 있는 루트 인증서의 경우 해당 인증서를 자동으로 신뢰하게 됨

Intermediate Root Certificate(중간 인증서)

루트 인증서를 루트(CA)에서 직접 발행하는 것은 위험 부담이 큼
체인 오브 트러스트에서는 다음과 같은 그림처럼 인증서가 발행됨

CA(루트)에서 중간 루트를 발행하여 사용하며, 다른 중간 루트에서도 서명이 가능

End Entity Certificate(엔드 엔티티 인증서)

인증 기관(CA)에서 개인이나 시스템에 발행한 디지털 서명 인증서
공개키를 일부 식별 정보에 바인딩하며 암호화, 인증, 디지털 서명 및 기타 목적으로 사용됨

[vSphere의 인증서]

vSphere에서 사용되는 암호화 통신 방식

VMware 제품은 X.509버전 3를 사용하여 구성 요소 간 TLS/SSL 프로토콜 연결을 통해 전송되는 세션 정보를 암호화
인증서는 PSC에 구성되어 있는 VMCA와 VECS을 통해 동작
VMCA를 통해 각 ESXi와 vCenter Server 및 관련 서비스에 서명한 인증서를 프로비저닝
VECS를 통해 vCenter Server와 관련 서비스에 대한 모든 인증서와 개인 키를 저장함

버전별 인증서 사용 방식

5.5이하 버전에서는 사용자 이름, 암호 및 지문의 조합을 통해서만 보호
6.0 이상부터는 3가지의 인증서 모드를 지원함

인증서 모드

인증서 모드	설명
VMware Certificate Authority(기본값)	VMCA가 모든 ESXi 호스트를 최상위 CA 또는 중간 CA로 프로비저닝하는 경우 이 모드를 사용합니다. 기본적으로 VMCA는 인증서로 ESXi 호스트를 프로비저닝합니다. 이 모드에서는 vSphere Web Client에서 인증서를 새로 고치거나 갱신할 수 있습니다.
사용자 지정 인증 기관	타사 또는 엔터프라이즈 CA가 서명한 사용자 지정 인증서만 사용하려는 경우 이 모드를 사용합니다. 이 모드에서는 사용자가 인증서 관리에 대한 책임이 있습니다. vSphere Web Client에서 인증서를 새로 고치거나 갱신할 수 없습니다. 참고:인증서 모드를 사용자 지정 인증 기관으로 변경하는 경우가 아니면 VMCA가 vSphere Web Client에서 갱신을 선택하는 경우와 같이 사용자 지정 인증서를 교체할 수도 있습니다.
지문 모드	vSphere 5.5에서는 지문 모드를 사용했으며 이 모드는 vSphere 6.x에 대한 폴백 옵션으로 아직 사용할 수 있습니다. 이 모드에서 vCenter Server는 인증서가 올바른 형식인지 검사하지만 인증서의 유효성은 검사하지 않습니다. 만료된 인증서도 수락됩니다. 다른 두 모드 중 하나로 해결할 수 없는 문제가 발생하는 경우가 아니면 이 모드를 사용하지 마십시오. 일부 vCenter 6.x 이상 서비스는 지문 모드에서 올바르게 작동하지 않을 수 있습니다.

인증서 종류

증명서	프로비저닝	코멘트
ESXi 인증서	VMCA (기본값)	ESXi 호스트에 로컬로 저장
머신 SSL 인증서	VMCA (기본값)	VECS에 저장
솔루션 사용자 인증서	VMCA (기본값)	VECS에 저장
vCenter Single Sign-On SSL 서명 인증서	설치 중에 프로비저닝됩니다.	vSphere Web Client 에서이 인증서를 관리하십시오 . 노트 :파일 시스템에서이 인증서를 변경하거나 예기치 않은 동작 결과를 초래하지 마십시오.
VMware Directory Service (VMDIR) SSL 인증서	설치 중에 프로비저닝됩니다.	vSphere 6.5부터 시스템 SSL 인증서가 vmdir 인증서로 사용됩니다.

ESXi 인증서

ESXi를 단독으로 사용할 경우에는 자동으로 생성된 인증서를 통해 작동
vCenter Server에서 관리할 경우 VMCA를 통해 루트 CA로 서명한 인증서로 프로비저닝됨

머신 SSL 인증서

각 노드(vCenter Server 인스턴스, PSC 인스턴스)에는 자체 시스템 SSL이 존재
머신 SSL은 서버 측에서 SSL 소켓을 작성하는데 사용되며, 인증서는 서버 확인 및 HTTPS 또는 LDAPS와 같은 보안 통신에 사용
다음 서비스에서 머신 SSL을 사용

솔루션 사용자 인증서

vSphere 5.5 이전까지는 각 서비스에 대한 별도의 인증서가 존재 필요

vSphere 6.0 이상부터는 솔루션 사용자라는 그룹으로 서비스가 그룹화되어 사용됨
인증서 또한 크게 솔루션 사용자 그룹에 따라 존재하게 변경

VECS의 저장소에는 다음과 같은 인증서가 저장됨

저장소	설명
시스템 SSL 저장소(MACHINE_SSL_CERT)	모든 vSphere 노드의 역방향 프록시 서비스에서 사용됩니다. 내장된 배포 및 각 Platform Services Controller 노드의 VMware 디렉토리 서비스(vmdir)에서 사용합니다. vSphere 6.0에서 모든 서비스는 시스템 SSL 인증서를 사용하는 역방향 프록시를 통해 통신합니다. 역방향 호환성을 위해 5.x 서비스는 여전히 특정 포트를 사용합니다. 그 결과 vpxd와 같은 일부 서비스는 아직 자체 포트를 열어둡니다.
신뢰할 수 있는 루트 저장소(TRUSTED_ROOTS)	모든 신뢰할 수 있는 루트 인증서가 포함됩니다.
솔루션 사용자 저장소 machine vpxd vpxd-extensions vsphere-webclient	VECS에는 각 솔루션 사용자에 대한 하나의 저장소가 포함됩니다. 각 솔루션 사용자 인증서의 주체는 고유해야 합니다. 예를 들어 시스템 인증서는 vpxd 인증서와 동일한 주체를 가질 수 없습니다. 솔루션 사용자 인증서는 vCenter Single Sign-On을 사용한 인증에 사용됩니다. vCenter Single Sign-On은 인증서가 올바른지 확인하지만 다른 인증서 특성은 확인하지 않습니다. 포함된 배포에서 모든 솔루션 사용자 인증서는 같은 시스템에 있습니다. 각 관리 노드 및 각 내장된 배포의 VECS에 다음의 솔루션 사용자 인증서 저장소가 포함되어 있습니다. machine: 구성 요소 관리자, 라이센스 서버 및 로깅 서비스에서 사용됩니다. 참고: 이 시스템 솔루션 사용자 인증서는 시스템 SSL 인증서와 아무 관련이 없습니다. 이 시스템 솔루션 사용자 인증서는 SAML 토큰 교환에 사용되며 시스템 SSL 인증서는 시스템에 대한 보안 SSL 연결에 사용됩니다. vpxd: 관리 노드 및 내장된 배포의 vCenter 서비스 대몬(vpxd) 저장소. vpxd는 이 저장소에 저장된 솔루션 사용자 인증서를 사용하여 vCenter Single Sign-On에 인증합니다. vpxd-extensions: vCenter 확장 저장소. Auto Deploy 서비스, Inventory Service를 비롯해 다른 솔루션 사용자의 일부가 아닌 기타 서비스가 포함됩니다. vsphere-webclient: vSphere Web Client 저장소. 성능 차트 서비스와 같은 일부 추가 서비스도 포함됩니다. 시스템 저장소는 각 Platform Services Controller 노드에도 포함됩니다.
vSphere Certificate Manager 유틸리티 백업 저장소(BACKUP_STORE)	VMCA(VMware Certificate Manager)에서 인증서 복구를 지원하기 위해 사용합니다. 최근 상태만 백업으로 저장되며 한 단계까지만 되돌아갈 수 있습니다.
기타 저장소	솔루션을 통해 기타 저장소가 추가될 수 있습니다. 예를 들어 가상 볼륨 솔루션은 SMS 저장소를 추가합니다. VMware 설명서 또는 VMware 기술 자료 문서에서 그렇게 하라고 지시하지 않는 이상 이러한 저장소의 인증서를 수정하지 마십시오. 참고: CRLS는 vSphere 6.0에서 지원되지 않지만 TRUSTED_ROOTS_CRLS 저장소를 삭제하면 인증서 인프라가 손상될 수 있습니다. TRUSTED_ROOTS_CRLS 저장소를 삭제하거나 수정하지 마십시오.