Usar certificados personalizados com vSphere Authentication Proxy consiste em várias etapas. Primeiro, você gera um CSR e o envia para sua autoridade de certificação para assinatura. Em seguida, coloque o certificado assinado e o arquivo de chave em um local que o vSphere Authentication Proxy possa acessar.
Por padrão, o vSphere Authentication Proxy gera um CSR durante a primeira inicialização e solicita que a VMCA assine esse CSR. vSphere Authentication Proxy se registra com vCenter Server usando esse certificado. Você pode usar certificados personalizados no seu ambiente, se você adicionar esses certificados ao vCenter Server.
Procedimento
- Gere um CSR para vSphere Authentication Proxy.
- Crie um arquivo de configuração, /var/lib/vmware/vmcam/ssl/vmcam.cfg , como no exemplo a seguir.
[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:dns.static-1.csl.vmware.com
[ req_distinguished_name ]
countryName = IE
stateOrProvinceName = Cork
localityName = Cork
0.organizationName = VMware
organizationalUnitName = vTSU
commonName = test-cam-1.test1.vmware.com
- Execute openssl para gerar um arquivo CSR e um arquivo de chave, passando o arquivo de configuração.
openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
- Faça backup do certificado rui.crt e dos arquivos rui.key , que estão armazenados no local a seguir.
/var/lib/vmware/vmcam/ssl/rui.crt
- Cancelar o registro de vSphere Authentication Proxy.
- Vá para o diretório / usr / lib / vmware-vmcam / bin onde o script camregister está localizado.
- Execute o seguinte comando.
camregister --unregister -a VC_address -u user
O
usuário deve ser um usuário vCenter Single Sign-On com permissões de administrador em
vCenter Server.
- Pare o serviço do vSphere Authentication Proxy.
Ferramenta |
Etapas |
vCenter Server Interface de gerenciamento de configuração |
- Em um navegador da Web, acesse a vCenter Server Configuration Management Interface, https: // vcenter-IP-address-or-FQDN : 5480.
- Faça login como root.
A senha raiz padrão é a senha que você definiu ao implantar o vCenter Server.
- Clique em Serviços (Services) e clique no serviço VMware vSphere Authentication Proxy .
- Clique em Parar(Stop).
|
CLI |
service-control --stop vmcam
|
- Substitua o certificado rui.crt e os arquivos rui.key existentes pelos arquivos que você recebeu da sua autoridade de certificação.
- Reinicie o serviço vSphere Authentication Proxy.
- Registre novamente vSphere Authentication Proxy explicitamente com vCenter Server usando o novo certificado e chave.
camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key