收到自定义证书后,可以替换每个计算机证书。

必须具有以下信息才能开始替换证书:
  • [email protected] 的密码
  • 有效的计算机 SSL 自定义证书(.crt 文件)
  • 有效的计算机 SSL 自定义密钥(.key 文件)
  • 有效的自定义根证书(.crt 文件)

前提条件

必须已从第三方或企业 CA 收到每个计算机的证书。

  • 密钥大小:2048 位(最小值)到 16384 位(最大值)(PEM 编码)
  • CRT 格式
  • x509 版本 3
  • SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
  • 包含以下密钥用法:数字签名、密钥加密。

过程

  1. 停止所有服务,启动处理证书创建、传播和存储的服务。
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  2. 登录到每个节点,然后将您从 CA 接收到的新的计算机证书添加到 VECS。
    所有计算机都需要本地证书存储中的新证书来通过 SSL 进行通信。
    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
    --key <key-file-path>
  3. 更新 Lookup Service 注册端点。
    /usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user '[email protected]' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>
  4. 重新启动所有服务。
    service-control --start --all