VxRail: mTLS 활성화 클러스터의 VxRail Manger SSL 인증서 요구 사항

사용자는 VxRail 플러그인 UI 기능에 따라 VxRail Manager SSL 인증서를 교체할 수 있습니다. 인증서는 VxRail 보안 표준을 충족하기 위해 아래 요구 사항을 충족해야 합니다.

1. 인증서는 x509 버전 3이어야 합니다.
2. SubjectAltName 다음을 포함해야 합니다. DNS Name=machine_FQDN 또는 IP=machine_IP (Dimension 케이스에만 해당)
3. 주체 키 식별자가 필요합니다.
4. 전체 인증서 체인의 서명 알고리즘은 SHA256 이상이어야 합니다.
5. 공용 CA(Certificate Authority) 또는 기업 CA를 사용하여 VxRail Manager 인증서에 서명하는 것이 좋습니다(필수는 아님). vLCM 기능이 활성화된 경우 000190239 따라 VxRail Manager 인증서가 vCenter 서명 인증서로 대체되었는지 확인합니다.
6. VxRail 7.0.350 릴리스부터 VxRail의 SSL/TLS 보안이 향상되었습니다. VxRail Manager SSL 인증서에 대한 "향상된 키 사용" 의 새로운 요구 사항이 추가되었습니다. 아래 단계에 따라 인증서 "Enhanced Key Usage"를 확인합니다.

Windows: 인증서 파일 확장명을 다음으로 변경합니다. crt 그런 다음 crt 파일을 열고 "세부 정보" 페이지로 이동합니다.

1. 아래 두 가지 케이스는 모두 규정 준수 케이스로 간주됩니다.
   1. "확장된 키 사용" 세그먼트는 없습니다. 예:
        
       
   2. "Enhanced Key Usage" 세그먼트가 있는 경우 "Server Authentication" 및 "Client Authentication"이 "Enhanced Key Usage" 세그먼트에 있어야 합니다. 예:
       

Linux: 다음 명령을 실행합니다. openssl x509 -in <target_cert> -noout -purpose

1. "SSL 클라이언트"와 "SSL 서버" 값이 모두 "예"인지 확인하십시오.

$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No