Depois de receber o certificado assinado da CA e torná-lo o certificado raiz da VMCA, você pode substituir todos os certificados SSL da máquina.

Essas etapas são essencialmente as mesmas que as etapas para substituir por um certificado que usa o VMCA como a autoridade de certificação. No entanto, neste caso, a VMCA assina todos os certificados com a cadeia completa.

Cada máquina deve ter um certificado SSL de máquina para comunicação segura com outros serviços. Quando várias instâncias de vCenter Server estão conectadas na configuração do Modo Vinculado Avançado, você deve executar os comandos de geração de certificado SSL de Máquina em cada nó.

Pré-requisitos

Para cada certificado SSL de máquina, o SubjectAltName deve conter DNS Name=<Machine FQDN>.

Procedimento

  1. Faça uma cópia de certool.cfg para cada máquina que precisa de um novo certificado.
    O arquivo certool.cfg está localizado no diretório / usr / lib / vmware-vmca / share / config / .
  2. Edite o arquivo de configuração personalizado para cada máquina para incluir o FQDN dessa máquina.
    Execute NSLookup no endereço IP da máquina para ver a lista de DNS do nome e use esse nome para o campo Nome do host no arquivo.
  3. Gere um par de arquivos de chave pública / privada e um certificado para cada máquina, passando o arquivo de configuração que você acabou de personalizar.
    Por exemplo: 
    certool --genkey --privkey=machine1.priv --pubkey=machine1.pub
certool --gencert --privkey=machine1.priv --cert machine42.crt --Name=Machine42_Cert --config machine1.cfg
  4. Pare todos os serviços e inicie os serviços que lidam com a criação, a propagação e o armazenamento de certificados. 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  5. Adicione o novo certificado ao VECS.
    Todas as máquinas precisam do novo certificado no repositório de certificados local para se comunicar por SSL. Primeiro, exclua a entrada existente e, em seguida, adicione a nova entrada. 
    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT  
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert machine1.cert
--key machine1.priv
  6. Reinicie todos os serviços. 
    service-control --start --all

Exemplo: Substituindo certificados SSL de máquina (VMCA é uma autoridade de certificação intermediária)

  1. Crie um arquivo de configuração para o certificado SSL e salve-o como ssl-config.cfg no diretório atual. 
    Country = US
Name = vmca-<FQDN-example>
Organization = VMware
OrgUnit = VMware Engineering
State = California 
Locality = Palo Alto
Hostname = <FQDN>
  2. Gere um par de chaves para o certificado SSL da máquina. Em uma implantação de várias instâncias do vCenter Server conectadas na configuração do Modo Vinculado Avançado, execute este comando em cada nó do vCenter Server. 
    /usr/lib/vmware-vmca/bin/certool --genkey --privkey=ssl-key.priv --pubkey=ssl-key.pub

    Os arquivos ssl-key.priv e ssl-key.pub são criados no diretório atual.

  3. Gere o novo certificado SSL da máquina. Este certificado é assinado pela VMCA. Se você substituiu o certificado raiz da VMCA por um certificado personalizado, a VMCA assinará todos os certificados com a cadeia completa. 
    /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vmca-ssl.crt --privkey=ssl-key.priv --config=ssl-config.cfg

    O arquivo new-vmca-ssl.crt é criado no diretório atual.

  4. (Opcional) Liste o conteúdo do VECS. 
    /usr/lib/vmware-vmafd/bin/vecs-cli store list
    • Saída de amostra em vCenter Server: 
      output (on vCenter):
MACHINE_SSL_CERT
TRUSTED_ROOTS
TRUSTED_ROOT_CRLS
machine
vsphere-webclient
vpxd
vpxd-extension
hvc
data-encipherment
APPLMGMT_PASSWORD
SMS
wcp
KMS_ENCRYPTION
  5. Substitua o certificado SSL da máquina no VECS pelo novo certificado SSL da máquina. Os valores --store e --alias devem corresponder exatamente aos nomes padrão.
    • Em cada vCenter Server, execute os seguintes comandos para atualizar o certificado SSL da máquina no repositório MACHINE_SSL_CERT. Você deve atualizar o certificado para cada máquina separadamente, pois cada uma tem um FQDN diferente. 
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert new-vmca-ssl.crt --key ssl-key.priv