收到自定义证书后,可以替换每个计算机证书。
必须具有以下信息才能开始替换证书:
- [email protected] 的密码
- 有效的计算机 SSL 自定义证书(.crt 文件)
- 有效的计算机 SSL 自定义密钥(.key 文件)
- 有效的自定义根证书(.crt 文件)
前提条件
必须已从第三方或企业 CA 收到每个计算机的证书。
- 密钥大小:2048 位(最小值)到 16384 位(最大值)(PEM 编码)
- CRT 格式
- x509 版本 3
- SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
- 包含以下密钥用法:数字签名、密钥加密。
过程
- 停止所有服务,启动处理证书创建、传播和存储的服务。
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- 登录到每个节点,然后将您从 CA 接收到的新的计算机证书添加到 VECS。
所有计算机都需要本地证书存储中的新证书来通过 SSL 进行通信。
vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>
- 更新 Lookup Service 注册端点。
/usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user '[email protected]' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>
- 重新启动所有服务。
service-control --start --all