Depois de receber os certificados personalizados, você pode substituir cada certificado de máquina.
Você deve ter as seguintes informações antes de começar a substituir os certificados:
- Senha para [email protected]
- Certificado personalizado SSL de máquina válido (arquivo .crt )
- Chave personalizada SSL de máquina válida (arquivo .key )
- Certificado personalizado válido para raiz (arquivo .crt )
Pré-requisitos
Você deve ter recebido um certificado para cada máquina da sua autoridade de certificação de terceiros ou corporativa.
- Tamanho da chave: 2048 bits (mínimo) a 16384 bits (máximo) (codificação PEM)
- Formato CRT
- x509 versão 3
- SubjectAltName deve conter o nome DNS = <machine_FQDN>.
- Contém os seguintes usos de chave: assinatura digital, codificação de chave
Procedimento
- Pare todos os serviços e inicie os serviços que lidam com a criação, a propagação e o armazenamento de certificados.
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- Faça login em cada nó e adicione os novos certificados de máquina que você recebeu da CA ao VECS.
Todas as máquinas precisam do novo certificado no repositório de certificados local para se comunicar por SSL.
vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>
- Atualize o endpoint de registro do serviço de pesquisa.
/usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user '[email protected]' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>
- Reinicie todos os serviços.
service-control --start --all
