使用具有 vSphere Authentication Proxy 的自定义证书包含多个步骤。首先,生成 CSR 并将其发送给 CA 进行签名。然后,将已签名证书和密钥文件放在 vSphere Authentication Proxy 能够访问的位置。
默认情况下,vSphere Authentication Proxy 会在首次引导期间生成 CSR 并要求 VMCA 签署此 CSR。vSphere Authentication Proxy 将使用此证书向vCenter Server进行注册。将自定义证书添加到 vCenter Server后,即可在环境中使用这些证书。
过程
- 为 vSphere Authentication Proxy 生成 CSR。
- 创建配置文件 /var/lib/vmware/vmcam/ssl/vmcam.cfg,如下例所示。
[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:dns.static-1.csl.vmware.com
[ req_distinguished_name ]
countryName = IE
stateOrProvinceName = Cork
localityName = Cork
0.organizationName = VMware
organizationalUnitName = vTSU
commonName = test-cam-1.test1.vmware.com
- 运行 openssl以生成 CSR 文件和密钥文件,同时传入配置文件。
openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
- 备份 rui.crt 证书和 rui.key 文件,它们存储在以下位置。
/var/lib/vmware/vmcam/ssl/rui.crt
- 取消注册 vSphere Authentication Proxy。
- 转到 camregister脚本所在的 /usr/lib/vmware-vmcam/bin 目录。
- 运行下列命令。
camregister --unregister -a VC_address -u user
user 必须是对
vCenter Server 拥有管理员权限的 vCenter Single Sign-On 用户。
- 停止 vSphere Authentication Proxy 服务。
| 工具 |
步骤 |
| vCenter Server配置管理界面 |
- 在 Web 浏览器中,输入 https://vcenter-IP-address-or-FQDN:5480,转至 vCenter Server 配置管理界面。
- 以 root 用户身份登录。
默认 root 密码是您在部署 vCenter Server时设置的密码。
- 单击服务,然后单击 VMware vSphere Authentication Proxy 服务。
- 单击停止。
|
| CLI |
service-control --stop vmcam
|
- 将现有 rui.crt 证书和 rui.key 文件替换为从 CA 收到的文件。
- 重新启动 vSphere Authentication Proxy 服务。
- 使用新证书和密钥向 vCenter Server明确地重新注册 vSphere Authentication Proxy。
camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key
