在替换计算机 SSL 证书后,可以替换解决方案用户证书。
许多 VMware 客户未替换解决方案用户证书。他们仅将计算机 SSL 证书替换为自定义证书。这种混合方法符合其安全团队的要求。
- 证书位于代理后面或是自定义证书。
- 未使用中间 CA。
替换每个管理节点和每个 Platform Services Controller 节点上的计算机解决方案用户证书。只能替换每个管理节点上的其他解决方案用户证书。在具有外部 --server 的管理节点上运行命令时,请使用 Platform Services Controller 参数指向 Platform Services Controller。
注: 在大型部署中列出解决方案用户证书时,
dir-cli list 的输出包括所有节点的所有解决方案用户。运行
vmafd-cli get-machine-id --server-name localhost 以查找每个主机的本地计算机 ID。每个解决方案用户名称均包括计算机 ID。
前提条件
每个解决方案用户证书必须具有不同的 Subject。例如,考虑包含解决方案用户名(如 vpxd)或其他唯一标识符。
注: vpxd 证书存储仅存在于
vCenter Server Appliance(而不是
Platform Services Controller)中。
过程
示例: 替换解决方案用户证书(中间 CA)
- 为每个解决方案用户生成公用/专用密钥对。其中包括每个 Platform Services Controller 和每个管理节点上的计算机解决方案用户的密钥对和每个管理节点上的每个其他解决方案用户(vpxd、vpxd-extension、vsphere-webclient)的密钥对。
- 为嵌入式部署的计算机解决方案用户或 Platform Services Controller 的计算机解决方案用户生成密钥对。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
- (可选)对于使用外部 Platform Services Controller 的部署,请为每个管理节点上的计算机解决方案用户生成密钥对。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
- 为每个管理节点上的 vpxd 解决方案用户生成密钥对。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vpxd-key.priv --pubkey=vpxd-key.pub
- 为每个管理节点上的 vpxd-extension 解决方案用户生成密钥对。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vpxd-extension-key.priv --pubkey=vpxd-extension-key.pub
- 为每个管理节点上的 vsphere-webclient 解决方案用户生成密钥对。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vsphere-webclient-key.priv --pubkey=vsphere-webclient-key.pub
- 为嵌入式部署的计算机解决方案用户或 Platform Services Controller 的计算机解决方案用户生成密钥对。
- 为每个 Platform Services Controller 和每个管理节点上的计算机解决方案用户以及每个管理节点上的每个其他解决方案用户(vpxd、vpxd-extension、vsphere-webclient)生成由新的 VMCA root 证书签名的解决方案用户证书。
注: --Name 参数必须唯一。包括解决方案用户存储的名称,可便于查看证书与解决方案用户之间的映射关系。在任何一种情况下,该示例都包括此名称,例如 vpxd 或 vpxd-extension。
- 在 Platform Services Controller 节点上运行以下命令可为该节点上的计算机解决方案用户生成解决方案用户证书。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine
- 为每个管理节点上的计算机解决方案用户生成证书。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine --server=<psc-ip-or-fqdn>
- 为每个管理节点上的 vpxd 解决方案用户生成证书。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vpxd.crt --privkey=vpxd-key.priv --Name=vpxd --server=<psc-ip-or-fqdn>
- 为每个管理节点上的 vpxd-extensions 解决方案用户生成证书。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vpxd-extension.crt --privkey=vpxd-extension-key.priv --Name=vpxd-extension --server=<psc-ip-or-fqdn>
- 通过运行以下命令为每个管理节点上的 vsphere-webclient 解决方案用户生成证书。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vsphere-webclient.crt --privkey=vsphere-webclient-key.priv --Name=vsphere-webclient --server=<psc-ip-or-fqdn>
- 在 Platform Services Controller 节点上运行以下命令可为该节点上的计算机解决方案用户生成解决方案用户证书。
- 将 VECS 中的解决方案用户证书替换为新的解决方案用户证书。
注: --store 和 --alias 参数必须与服务的默认名称完全匹配。
- 在 Platform Services Controller 节点上,请运行以下命令以替换计算机解决方案用户证书:
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store machine --alias machine C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store machine --alias machine --cert new-machine.crt --key machine-key.priv
- 替换每个管理节点上的计算机解决方案用户证书:
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store machine --alias machine C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store machine --alias machine --cert new-machine-vc.crt --key machine-vc-key.priv
- 替换每个管理节点上的 vpxd 解决方案用户证书。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vpxd --alias vpxd C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vpxd --alias vpxd --cert new-vpxd.crt --key vpxd-key.priv
- 替换每个管理节点上的 vpxd-extension 解决方案用户证书。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vpxd-extension --alias vpxd-extension C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vpxd-extension --alias vpxd-extension --cert new-vpxd-extension.crt --key vpxd-extension-key.priv
- 替换每个管理节点上的 vsphere-webclient 解决方案用户证书。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vsphere-webclient --alias vsphere-webclient C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vsphere-webclient --alias vsphere-webclient --cert new-vsphere-webclient.crt --key vsphere-webclient-key.priv
- 在 Platform Services Controller 节点上,请运行以下命令以替换计算机解决方案用户证书:
- 使用新的解决方案用户证书更新 VMware Directory Service (vmdir)。系统将提示您输入 vCenter Single Sign-On 管理员密码。
- 运行 dir-cli service list 可获取每个解决方案用户的唯一服务 ID 后缀。可以在 Platform Services Controller 或 vCenter Server 系统上运行此命令。
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli>dir-cli service list output: 1. machine-29a45d00-60a7-11e4-96ff-00505689639a 2. machine-6fd7f140-60a9-11e4-9e28-005056895a69 3. vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 4. vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 5. vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69
注: 在大型部署中列出解决方案用户证书时, dir-cli list 的输出包括所有节点的所有解决方案用户。运行 vmafd-cli get-machine-id --server-name localhost 以查找每个主机的本地计算机 ID。每个解决方案用户名称均包括计算机 ID。 - 在 Platform Services Controller 上替换 vmdir 中的计算机证书。例如,如果 machine-29a45d00-60a7-11e4-96ff-00505689639a 为 Platform Services Controller 中的计算机解决方案用户,请运行此命令:
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name machine-29a45d00-60a7-11e4-96ff-00505689639a --cert new-machine-1.crt
- 替换每个管理节点上的 vmdir 中的计算机证书。例如,如果 machine-6fd7f140-60a9-11e4-9e28-005056895a69 为 vCenter Server 中的计算机解决方案用户,请运行此命令:
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name machine-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-machine-2.crt
- 替换每个管理节点上的 vmdir 中的 vpxd 解决方案用户证书。例如,如果 vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 为 vpxd 解决方案用户 ID,请运行此命令:
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd.crt
- 替换每个管理节点上的 vmdir 中的 vpxd-extension 解决方案用户证书。例如,如果 vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 为 vpxd-extension 解决方案用户 ID,请运行此命令:
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd-extension.crt
- 替换每个管理节点上的 vsphere-webclient 解决方案用户证书。例如,如果 vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 为 vsphere-webclient 解决方案用户 ID,请运行此命令:
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vsphere-webclient.crt
- 运行 dir-cli service list 可获取每个解决方案用户的唯一服务 ID 后缀。可以在 Platform Services Controller 或 vCenter Server 系统上运行此命令。