Nachdem Sie die Maschinen-SSL-Zertifikate ersetzt haben, können Sie die VMCA-signierten Lösungsbenutzerzertifikate durch Drittanbieter- oder Unternehmenszertifikate ersetzen.

Vorbereitungen

  • Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)

  • CRT-Format

  • x509 Version 3

  • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten

  • Für jedes Lösungsbenutzerzertifikat ist ein unterschiedlicher Wert für Subject erforderlich. Geben Sie beispielsweise den Lösungsbenutzernamen (z. B. vpxd) oder einen anderen eindeutigen Bezeichner an.

  • Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung

Warum und wann dieser Vorgang ausgeführt wird

Lösungsbenutzer verwenden Zertifikate für die Authentifizierung bei vCenter Single Sign On. Wenn das Zertifikat gültig ist, weist vCenter Single Sign On dem Lösungsbenutzer ein SAML-Token zu, und der Lösungsbenutzer verwendet das SAML-Token für die Authentifizierung bei anderen vCenter-Komponenten.

Überlegen Sie sich, ob Lösungsbenutzerzertifikate in Ihrer Umgebung ersetzt werden müssen. Da sich Lösungsbenutzer hinter einem Proxy-Server befinden und das Maschinen-SSL-Zertifikat für den Schutz des SSL-Datenverkehrs verwendet wird, stellen die Lösungsbenutzerzertifikate möglicherweise ein geringeres Sicherheitsrisiko dar.

Sie ersetzen das Lösungsbenutzerzertifikat „machine“ auf jedem Verwaltungsknoten und auf jedem Platform Services Controller-Knoten. Die anderen Lösungsbenutzerzertifikate ersetzen Sie nur auf jedem Verwaltungsknoten. Verwenden Sie den Parameter --server, um auf den Platform Services Controller zu verweisen, wenn Sie Befehle auf einem Verwaltungsknoten mit einem externen Platform Services Controller ausführen.

Anmerkung:

Wenn Sie Lösungsbenutzerzertifikate bei großen Bereitstellungen auflisten, enthält die Ausgabe von dir-cli list alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.

Prozedur

  1. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmca
    
  2. Suchen Sie den Namen für jeden Lösungsbenutzer.
    dir-cli service list 
    

    Sie können die eindeutige ID verwenden, die beim Ersetzen der Zertifikate zurückgegeben wird. Die Ein- und Ausgabe könnte so oder ähnlich wie im Folgenden aussehen.

    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
    Enter password for administrator@vsphere.local:
    1. machine-1d364500-4b45-11e4-96c2-020011c98db3
    2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
    3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
    4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3

    Wenn Sie Lösungsbenutzerzertifikate bei Bereitstellungen mit mehreren Knoten auflisten, enthält die Ausgabe von dir-cli alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.

  3. Ersetzen Sie für jeden Lösungsbenutzer das vorhandene Zertifikat in VECS und anschließend in vmdir.

    Sie müssen die Zertifikate in dieser Reihenfolge hinzufügen.

    vecs-cli entry delete --store vpxd --alias vpxd
    vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    dir-cli service update --name <vpxd-xxxx-xxx-xxxxxx> --cert vpxd.crt
    
    Anmerkung:

    Lösungsbenutzer können sich nur bei vCenter Single Sign On authentifizieren, wenn Sie das Zertifikat in vmdir ersetzen.

  4. Starten Sie alle Dienste neu.
    service-control --start --all