要对 vSphere Authentication Proxy 使用自定义证书,需生成 CSR,将其发送到 CA 进行签名,并将已签名证书和密钥文件放置在 vSphere Authentication Proxy 可以访问的位置。

关于此任务

默认情况下,vSphere Authentication Proxy 会在首次引导期间生成 CSR 并要求 VMCA 签署此 CSR。vSphere Authentication Proxy 将使用此证书向 vCenter Server 进行注册。将自定义证书添加到 vCenter Server 后,即可在环境中使用这些证书。

过程

  1. 为 vSphere Authentication Proxy 生成 CSR。
    1. 创建配置文件 /var/lib/vmware/vmcam/ssl/vmcam.cfg,如下例所示。
      [ req ]
      distinguished_name = req_distinguished_name
      encrypt_key = no
      prompt = no
      string_mask = nombstr
      req_extensions = v3_req
      [ v3_req ]
      basicConstraints = CA:false
      keyUsage = nonRepudiation, digitalSignature, keyEncipherment
      subjectAltName = DNS:olearyf-static-1.csl.vmware.com
      [ req_distinguished_name ]
      countryName = IE
      stateOrProvinceName = Cork
      localityName = Cork
      0.organizationName = VMware
      organizationalUnitName = vTSU
      commonName = test-cam-1.test1.vmware.com
    2. 运行 openssl 以生成 CSR 文件和密钥文件,同时传入配置文件。
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. 备份 rui.crt 证书和 rui.key 文件,它们存储在以下位置。

    操作系统

    位置

    vCenter Server Appliance

    /var/lib/vmware/vmcam/ssl/rui.crt

    vCenter Server Windows

    C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt

  3. 取消注册 vSphere Authentication Proxy。
    1. 转到 camregister 脚本所在的目录。

      操作系统

      命令

      vCenter Server Appliance

      /var/lib/vmware-vmcam/bin

      vCenter Server Windows

      C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt

    2. 运行下列命令。
      camregister --unregister -a VC_address -u user
      

      user 必须是对 vCenter Server 拥有管理员权限的 vCenter Single Sign-On 用户。

  4. 停止 vSphere Authentication Proxy 服务。

    工具

    步骤

    vSphere Web Client

    1. 单击系统管理,然后在部署下单击系统配置

    2. 单击服务,然后单击 VMware vSphere Authentication Proxy 服务并停止该服务。

    CLI

    service-control --stop vmcam
    
  5. 将现有 rui.crt 证书和 rui.key 文件替换为从 CA 收到的文件。
  6. 重新启动 vSphere Authentication Proxy 服务。
  7. 通过运行以下命令,使用新证书和密钥向 vCenter Server 明确地重新注册 vSphere Authentication Proxy。
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key