Depois de gerar um novo certificado raiz assinado pela VMCA, você pode substituir todos os certificados SSL de máquina no seu ambiente.

Cada máquina deve ter um certificado SSL de máquina para comunicação segura com outros serviços. Quando várias instâncias de vCenter Server estão conectadas na configuração do Modo Vinculado Avançado, você deve executar os comandos de geração de certificado SSL de Máquina em cada nó.

Pré-requisitos

Esteja preparado para interromper todos os serviços e iniciar os serviços que lidam com a propagação e o armazenamento de certificados.

Procedimento

  1. Faça uma cópia de certool.cfg para cada máquina que precisa de um novo certificado.
    Você pode encontrar o arquivo certool.cfg no diretório / usr / lib / vmware-vmca / share / config / .
  2. Edite o arquivo de configuração personalizado para cada máquina para incluir o FQDN dessa máquina.
    Execute NSLookup no endereço IP da máquina para ver a lista de DNS do nome e use esse nome para o campo Nome do host no arquivo.
  3. Gere um par de arquivos de chave pública / privada e um certificado para cada arquivo, passando o arquivo de configuração que você acabou de personalizar.
    Por exemplo: 
    certool --genkey --privkey=machine1.priv --pubkey=machine1.pub
certool --gencert --privkey=machine1.priv --cert machine1.crt --Name=Machine1_Cert --config machine1.cfg
  4. Pare todos os serviços e inicie os serviços que lidam com a criação, a propagação e o armazenamento de certificados. 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  5. Adicione o novo certificado ao VECS.
    Todas as máquinas precisam do novo certificado no repositório de certificados local para se comunicar por SSL. Primeiro, exclua a entrada existente e, em seguida, adicione a nova entrada. 
    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT  
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert machine1.crt --key machine1.priv
  6. Reinicie todos os serviços. 
    service-control --start --all

Exemplo: Substituindo certificados de máquina por certificados assinados pela VMCA

  1. Crie um arquivo de configuração para o certificado SSL e salve-o como ssl-config.cfg no diretório atual. 
    Country = US
Name = vmca-<FQDN-example>
Organization = <my_company>
OrgUnit = <my_company Engineering>
State = <my_state> 
Locality = <mytown>
Hostname = <FQDN>
  2. Gere um par de chaves para o certificado SSL da máquina. Em uma implantação de várias instâncias do vCenter Server conectadas na configuração do Modo Vinculado Avançado, execute este comando em cada nó do vCenter Server. 
    /usr/lib/vmware-vmca/bin/certool --genkey --privkey=ssl-key.priv --pubkey=ssl-key.pub

    Os arquivos ssl-key.priv e ssl-key.pub são criados no diretório atual.

  3. Gere o novo certificado SSL da máquina. Este certificado é assinado pela VMCA. Se você substituiu o certificado raiz da VMCA por um certificado personalizado, a VMCA assinará todos os certificados com a cadeia completa. 
    /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vmca-ssl.crt --privkey=ssl-key.priv --config=ssl-config.cfg

    O arquivo new-vmca-ssl.crt é criado no diretório atual.

  4. (Opcional) Liste o conteúdo do VECS. 
    /usr/lib/vmware-vmafd/bin/vecs-cli store list
    • Saída de amostra em vCenter Server: 
      output (on vCenter):
MACHINE_SSL_CERT
TRUSTED_ROOTS
TRUSTED_ROOT_CRLS
machine
vsphere-webclient
vpxd
vpxd-extension
hvc
data-encipherment
APPLMGMT_PASSWORD
SMS
wcp
KMS_ENCRYPTION
  5. Substitua o certificado SSL da máquina no VECS pelo novo certificado SSL da máquina. Os valores --store e --alias devem corresponder exatamente aos nomes padrão.
    • Em cada vCenter Server, execute os seguintes comandos para atualizar o certificado SSL da máquina no repositório MACHINE_SSL_CERT. Você deve atualizar o certificado para cada máquina separadamente, pois cada uma tem um FQDN diferente. 
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert new-vmca-ssl.crt --key ssl-key.priv

O que Fazer Depois

Você também pode substituir os certificados para seus hosts ESXi. Consulte a publicação de Segurança do vSphere .