VMware ESXi 인증서 직접 해본 경험
ESXi 서버를 운영하면 웹관리자로 로그인을 해야합니다.
이때 SSL 적용이 안될 경우 아래처럼 [ 주의 요함 ] 이라고 경고를 볼 수 있습니다.
그냥 놔두고 사용해도 상관은 없지만 크롬브라우저에서 관련하여 암호 저장도 안시켜줄뿐만 아니라 보안상 문제가 될 부분은 있습니다.
그렇기에 매번 인증서를 등록하고 갱신을 해야합니다.
제 경우에는 ESXi 호스트 자체에는 많은것을 설치하는게 싫어서 기본형 그대로 유지하기 위해 다른 모듈은 설치 하지 않았습니다. 그냥 도메인을 이용하여 인증서를 등록시키고 1년단위로 갱신하려합니다.
우선 1년후에 제가 잊고 까먹을까봐 기록으로 남깁니다.
1년후에 또 이 글을 보면서 갱신을 하던지 구글에서 또다시 검색하다는 도중에 제 글을 찾아서 보던지 하겠죠.
갱신 방법은 쉽습니다.
그리고 처음에 발급받은 Privaty CSR 코드랑 인증완료 후 제공받는 Certificate 파일을 CSR 확장자로 만들어서 ESXi 호스트에 올리고 재실행만 하면됩니다.
cd /etc/vmware/ssl
폴더에 들어가면 인증서 파일이 많이 보이는데 그중에서 rui.crt 파일과 rui.key private key 파일만 변경하면됩니다.
특히 rui.key 파일은 읽기전용으로 되어져있어서 바로 수정은 안되므로 vm rui.key rui.old.key 명령어로 이름을 바꿔놓고 진행해야합니다.
VMware ESXi SSL Certificate 갱신방법
1. GogetSSL 사이트에서 인증서를 갱신한다.
Reissue SSL 버튼을 눌러서 기간 연장을 합니다.
만약 인증서가 만료되어 새로 만들어야 할 경우 2년~5년짜리 SSL 인증서를 하나 구입하여 동일하게 진행하면됩니다.
Online CSR Generator 이용하여 생성합니다.
이후 DNS 이용해서 도메인으로 인증을 받습니다.
2. 인증서 등록을 빠르게 하기 위해 Macro를 사용한다.
[coupang]
하나하나 치는것도 사실 시간이 아깝습니다. 조직이랑 직업 도시 구역 그리고 나라까지 찾고 이메일 적고 하면 1분정도 걸릴수 있습니다.
이부분을 매크로로 5초만에 해결하는거죠.
<TEXT TYPE Action="0" Text="<TAB>"/>
<DELAY Flags="\x12" Time="100"/>
<TEXT TYPE Action="0" Text="TION<TAB>"/>
<DELAY Flags="\x12" Time="100"/>
<TEXT TYPE Action="0" Text="CEO<TAB>"/>
<DELAY Flags="\x12" Time="100"/>
<TEXT TYPE Action="0" Text="Daegu<TAB>"/>
<DELAY Flags="\x12" Time="100"/>
<TEXT TYPE Action="0" Text="Dalseo-gu<TAB>"/>
<DELAY Flags="\x12" Time="100"/>
<REPEAT START Start="1" Step="1" Count="116" Save="FALSE"/>
<DELAY Flags="\x12" Time="10"/>
<TEXT TYPE Action="0" Text="<ARROW DOWN>"/>
<END REPEAT/>
<TEXT TYPE Action="0" Text="<TAB>"/>
<DELAY Flags="\x12" Time="100"/>
<TEXT TYPE Action="0" Text="a@tion.kr<TAB>"/>
<DELAY Flags="\x12" Time="100"/>
<TEXT TYPE Action="0" Text="<TAB>"/>
소스코드 올려놨으니 이거 보고 없으면 그대로 복사붙여넣기 하면됩니다.
대한민국이 116번째에 있어서 찾는데도 시간 많이 걸렸습니다.
이렇게 도메인만 입력하고 Ctrl + End 단축키만 누르면 바로 개인 Private Key를 얻게됩니다.
아래 만들어진 파일의 Private Server Key를 rui.key 로 만들어서 업로드하든지 바로vim으로 만들던지 하면 됩니다.
주의사항!!
처음에 서버키를 rui.key 파일로 넣어야 하는데 가끔 거꾸로 넣는 실수를 범하는 경우가 있습니다.
chmod 700 rui.key 수정모드 되도록 하고 다시
chmod 400 rui.key 읽기 전용으로 바꾸면 됩니다.
이렇게 사이트에 연결할 수 없음 이라고 나온다면 분명 파일을 잘 못 넣은 경우니 다시 천천히 하면 됩니다.
3. VMware ESXi 인증서 도메인 DNS 인증방식으로 도메인 소유자를 증명한다.
Certificate 버튼을 눌러서 파일을 받아 그 파일명을 rui.crt 파일명으로 바꿔서 업로드 하던지 vim으로 작성해도 됩니다.
[coupangend]
그리고 마지막으로 서비스명령어로 서비스를 재 실행하면 SSL이 적용됩니다.
따로 서버가 꺼지지 않아서 certbot 이용해서 자동화 만들고 싶긴 하지만…보안을 위해서 그냥 1년에 한번씩 서버 갱신하면서 유지보수를 하죠뭐 ㅎㅎ
services.sh restart
끝!
1년후에 봅시닷!!
목차