默认情况下,Auto Deploy 服务器使用 VMCA 签名的证书置备每个主机。您可以将 Auto Deploy 服务器设置为使用未经 VMCA 签名的自定义证书置备所有主机。在这种情况下,Auto Deploy 服务器将成为第三方 CA 的辅助证书颁发机构。
前提条件
- 向您的 CA 请求证书。证书必须满足以下要求。
- 密钥大小:2048 位或更大(PEM 编码)
- PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8。
- x509 版本 3
- 对于根证书,CA 扩展必须设置为 true,并且 cert 签名必须在要求列表中。
- SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
- CRT 格式
- 包含以下密钥使用:数字签名、不可否认性、密钥加密
- 比当前时间早一天的开始时间。
- CN(和 SubjectAltName)设置为 vCenter Server 清单中的 ESXi 主机的主机名(或 IP 地址)。
- 将证书和密钥文件分别命名为 rbd-ca.crt 和 rbd-ca.key。
过程
- 备份默认的 ESXi 证书。
证书位于
/etc/vmware-rbd/ssl/ 目录中。
- 停止 vSphere Authentication Proxy 服务。
| 工具 |
步骤 |
| vCenter Server Appliance 管理界面 (VAMI) |
- 在 Web 浏览器中,转至 vCenter Server Appliance 管理界面,https:// appliance-IP-address-or-FQDN:5480。
- 以 root 用户身份登录。
默认 root 密码是您在部署 vCenter Server Appliance 时设置的密码。
- 单击服务,然后单击 VMware vSphere Authentication Proxy 服务。
- 单击停止。
|
| vSphere Web Client |
- 选择系统管理,然后在部署下单击系统配置。
- 单击服务,然后单击 VMware vSphere Authentication Proxy 服务。
- 单击红色的停止服务图标。
|
| CLI |
service-control --stop vmcam
|
- 在运行 Auto Deploy 服务的系统上,将 /etc/vmware-rbd/ssl/ 中的 rbd-ca.crt 和 rbd-ca.key 替换为您的自定义证书和密钥文件。
- 在运行 Auto Deploy 服务的系统上,运行以下命令以更新 VECS 内的 TRUSTED_ROOTS 存储以使用新证书。
| 选项 |
描述 |
| Windows |
cd "C:\Program Files\VMware\vCenter Server\vmafdd\"
.\dir-cli.exe trustedcert publish --cert C:\ProgramData\VMware\vCenterServer\data\autodeploy\ssl\rbd-ca.crt
.\vecs-cli force-refresh |
| Linux |
/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
/usr/lib/vmware-vmafd/bin/vecs-cli force-refresh |
- 创建包含 TRUSTED_ROOTS 存储内容的 castore.pem 文件,并将该文件放入 /etc/vmware-rbd/ssl/ 目录中。
在自定义模式中,您必须维护此文件。
- 将 vCenter Server 系统的 ESXi 证书模式更改为自定义。
- 重新启动 vCenter Server 服务,然后启动 Auto Deploy 服务。
结果
下次置备设置为使用 Auto Deploy 的主机时,Auto Deploy 服务器将生成证书。Auto Deploy 服务器将使用刚刚添加到 TRUSTED_ROOTS 存储的根证书。
