设置 vSphere Authentication Proxy 以使用自定义证书

使用具有 vSphere Authentication Proxy 的自定义证书包含多个步骤。首先，生成 CSR 并将其发送给 CA 进行签名。然后，将已签名证书和密钥文件放在 vSphere Authentication Proxy 能够访问的位置。

默认情况下，vSphere Authentication Proxy 会在首次引导期间生成 CSR 并要求 VMCA 签署此 CSR。vSphere Authentication Proxy 将使用此证书向 vCenter Server 进行注册。将自定义证书添加到 vCenter Server 后，即可在环境中使用这些证书。

过程

为 vSphere Authentication Proxy 生成 CSR。

创建配置文件 /var/lib/vmware/vmcam/ssl/vmcam.cfg，如下例所示。

[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:vcenter1.example.com
[ req_distinguished_name ]
countryName = US
stateOrProvinceName = NY
localityName = New York
0.organizationName = Example Inc.
organizationalUnitName = IT Org
commonName = vcenter1.example.com

请注意以下事项：

subjectAltName：使用 DNS:FQDN_of_vCenter_Appliance_to_use_the_CA-signed certificate 格式。
commonName：使用 subjectAltName 中使用的 vCenter Appliance 的同一 FQDN。

运行 openssl 以生成 CSR 文件和密钥文件，同时传入配置文件。

openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg

备份 rui.crt 证书和 rui.key 文件，它们存储在以下位置。
/var/lib/vmware/vmcam/ssl/rui.crt
取消注册 vSphere Authentication Proxy。
1. 转到 camregister 脚本所在的 /usr/lib/vmware-vmcam/bin 目录。
2. 运行下列命令。
```
camregister --unregister -a VC_address -u user
```
  user 必须是对 vCenter Server 拥有管理员权限的 vCenter Single Sign-On 用户。

停止 vSphere Authentication Proxy 服务。

工具	步骤
vCenter Server 配置管理界面	在 Web 浏览器中，输入 https://`vcenter-IP-address-or-FQDN`:5480，转至 vCenter Server 配置管理界面。以 root 用户身份登录。默认 root 密码是您在部署 vCenter Server 时设置的密码。依次单击服务和 VMware vSphere Authentication Proxy. 单击停止。
CLI	service-control --stop vmcam

将现有 rui.crt 证书和 rui.key 文件替换为从 CA 收到的文件。
重新启动 vSphere Authentication Proxy 服务。

使用新证书和密钥向 vCenter Server 明确地重新注册 vSphere Authentication Proxy。

camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key