Por padrão, o servidor do Auto Deploy provisiona cada host com certificados que são assinados pelo VMCA. Você pode configurar o servidor do Auto Deploy para provisionar todos os hosts com certificados personalizados que não são assinados pelo VMCA. Nesse cenário, o servidor de Implantação Automática se torna uma autoridade de certificação subordinada da sua CA de terceiros.

Pré-requisitos

  • Solicite um certificado da sua autoridade de certificação. O certificado deve atender a esses requisitos.
    • Tamanho da chave: 2048 bits (mínimo) a 16384 bits (máximo) (codificação PEM)
    • Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando as chaves são adicionadas ao VECS, elas são convertidas em PKCS8.
    • x509 versão 3
    • Para certificados raiz, a extensão da autoridade de certificação deve ser definida como verdadeira e o sinal de certificado deve estar na lista de requisitos.
    • SubjectAltName deve conter o nome DNS = <machine_FQDN>.
    • Formato CRT
    • Contém os seguintes usos de chave: assinatura digital, não repúdio, codificação de chave
    • Hora de início de um dia antes da hora atual.
    • CN (e SubjectAltName) definido como o nome do host (ou endereço IP) que o host ESXi tem no inventário vCenter Server.
  • Nomeie os arquivos de certificado e chave rbd-ca.crt e rbd-ca.key .

Procedimento

  1. Faça backup dos certificados ESXi padrão.
    Os certificados estão no diretório / etc / vmware-rbd / ssl / .
  2. Pare o serviço do vSphere Authentication Proxy.
    Ferramenta Etapas
    Interface de gerenciamento do vCenter Server
    1. Em um navegador da Web, acesse a vCenter Server Management Interface, https: // vcenter-IP-address-or-FQDN : 5480.
    2. Faça login como root.

      A senha raiz padrão é a senha que você definiu ao implantar o vCenter Server.

    3. Clique em Serviços (Services) e clique no serviço VMware vSphere Authentication Proxy .
    4. Clique em Parar(Stop).
    CLI
    service-control --stop vmcam
    
  3. No sistema em que o serviço Auto Deploy é executado, substitua rbd-ca.crt e rbd-ca.key em / etc / vmware-rbd / ssl / com seu certificado personalizado e arquivos de chave.
  4. No sistema em que o serviço Auto Deploy é executado, execute o seguinte comando para atualizar o repositório TRUSTED_ROOTS dentro do VECS para usar seus novos certificados.
    cd /usr/lib/vmware-vmafd/bin/vecs-cli
    vecs-cli entry delete --store TRUSTED_ROOTS --alias rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias rbd_cert --cert /etc/vmware-rbd/ssl/rbd-ca.crt
  5. Crie um arquivo castore.pem que contenha o que está no armazenamento TRUSTED_ROOTS e coloque o arquivo no diretório / etc / vmware-rbd / ssl / .
    No modo personalizado, você é responsável por manter esse arquivo.
  6. Altere o modo de certificado do ESXi para o sistema vCenter Server para personalizado .
  7. Reinicie o serviço vCenter Server e inicie o serviço Auto Deploy.

Resultados

Na próxima vez que você provisionar um host configurado para usar o Auto Deploy, o servidor do Auto Deploy gerará um certificado. O servidor do Auto Deploy usa o certificado raiz que você adicionou ao repositório TRUSTED_ROOTS.

Observação: Se você tiver problemas com o Auto Deploy após a substituição do certificado, consulte o VMware artigo da base de conhecimento em http://kb.vmware.com/kb/2000988 .