Nachdem Sie die Maschinen-SSL-Zertifikate ersetzt haben, können Sie die Lösungsbenutzerzertifikate ersetzen.

Warum und wann dieser Vorgang ausgeführt wird

Viele VMware-Kunden tauschen Lösungsbenutzerzertifikate nicht aus. Sie tauschen lediglich die Maschinen-SSL-Zertifikate gegen benutzerdefinierte Zertifikate aus. Mit dieser hybriden Herangehensweise werden die Anforderungen ihrer Sicherheitsteams erfüllt.

  • Zertifikate befinden sich entweder hinter einem Proxy-Server oder stellen benutzerdefinierte Zertifikate dar.

  • Es werden keine Zwischenzertifizierungsstellen verwendet.

Sie ersetzen das Lösungsbenutzerzertifikat „machine“ auf jedem Verwaltungsknoten und auf jedem Platform Services Controller-Knoten. Die anderen Lösungsbenutzerzertifikate ersetzen Sie nur auf jedem Verwaltungsknoten. Verwenden Sie den Parameter --server, um auf den Platform Services Controller zu verweisen, wenn Sie Befehle auf einem Verwaltungsknoten mit einem externen Platform Services Controller ausführen.

Anmerkung:

Wenn Sie Lösungsbenutzerzertifikate bei großen Bereitstellungen auflisten, enthält die Ausgabe von dir-cli list alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.

Voraussetzungen

Für jedes Lösungsbenutzerzertifikat ist ein unterschiedlicher Wert für Subject erforderlich. Geben Sie beispielsweise den Lösungsbenutzernamen (z. B. vpxd) oder einen anderen eindeutigen Bezeichner an.

Prozedur

  1. Erstellen Sie eine Kopie von certool.cfg, entfernen Sie die Felder für den Namen, die IP-Adresse, den DNS-Namen und die E-Mail-Adresse und benennen Sie die Datei z. B. in sol_usr.cfg um.

    Sie können die Zertifikate im Rahmen des Generierungsvorgangs über die Befehlszeile benennen. Die restlichen Informationen sind für Lösungsbenutzer nicht erforderlich. Wenn Sie die Standardinformationen unverändert lassen, könnten die generierten Zertifikate für Verwirrung sorgen.

  2. Generieren Sie für jeden Lösungsbenutzer ein öffentliches/privates Schlüsseldateipaar sowie ein Zertifikat und übergeben Sie die Konfigurationsdatei, die Sie soeben angepasst haben.

    Beispiel:

    certool --genkey --privkey=vpxd.priv --pubkey=vpxd.pub
    certool --gencert --privkey=vpxd.priv --cert vpxd.crt --Name=VPXD_1 --config sol_usr.cfg
  3. Suchen Sie den Namen für jeden Lösungsbenutzer.
    dir-cli service list 
    

    Sie können die eindeutige ID verwenden, die beim Ersetzen der Zertifikate zurückgegeben wird. Die Ein- und Ausgabe könnte so oder ähnlich wie im Folgenden aussehen.

    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
    Enter password for administrator@vsphere.local:
    1. machine-1d364500-4b45-11e4-96c2-020011c98db3
    2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
    3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
    4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3

    Wenn Sie Lösungsbenutzerzertifikate bei Bereitstellungen mit mehreren Knoten auflisten, enthält die Ausgabe von dir-cli alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.

  4. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.

    Die Dienstnamen sind unter Windows und bei der vCenter Server Appliance unterschiedlich.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  5. Ersetzen Sie das vorhandene Zertifikat in vmdir und anschließend in VECS.

    Für Lösungsbenutzer müssen Sie die Zertifikate in dieser Reihenfolge hinzufügen. Beispiel:

    dir-cli service update --name <vpxd-xxxx-xxx-7c7b769cd9f4> --cert ./vpxd.crt
    vecs-cli entry delete --store vpxd --alias vpxd
    vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    
    Anmerkung:

    Lösungsbenutzer können sich nur bei vCenter Single Sign-On anmelden, wenn Sie das Zertifikat in vmdir ersetzen.

  6. Starten Sie alle Dienste neu.
    service-control --start --all
    

Ersetzen der Lösungsbenutzerzertifikate (Zwischenzertifizierungsstelle)

  1. Generieren Sie für jeden Lösungsbenutzer ein öffentliches/privates Schlüsselpaar. Dies beinhaltet ein Schlüsselpaar für den Lösungsbenutzer „machine“ auf jedem Platform Services Controller und jedem Verwaltungsknoten sowie ein Schlüsselpaar für jeden zusätzlichen Lösungsbenutzer (vpxd, vpxd-extension, vsphere-webclient) auf jedem Verwaltungsknoten.

    1. Generieren Sie für den Lösungsbenutzer „machine“ einer eingebetteten Bereitstellung oder für den Lösungsbenutzer „machine“ des Platform Services Controller ein Schlüsselpaar.

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
      
    2. (Optional) Generieren Sie für Bereitstellungen mit einem externen Platform Services Controller für den Lösungsbenutzer „machine“ ein Schlüsselpaar auf jedem Verwaltungsknoten.

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
    3. Generieren Sie für den vpxd-Lösungsbenutzer ein Schlüsselpaar auf jedem Verwaltungsknoten.

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vpxd-key.priv --pubkey=vpxd-key.pub
    4. Generieren Sie für den vpxd-extension-Lösungsbenutzer ein Schlüsselpaar auf jedem Verwaltungsknoten.

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vpxd-extension-key.priv --pubkey=vpxd-extension-key.pub
    5. Generieren Sie für den vsphere-webclient-Lösungsbenutzer ein Schlüsselpaar auf jedem Verwaltungsknoten.

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vsphere-webclient-key.priv --pubkey=vsphere-webclient-key.pub
  2. Generieren Sie vom neuen VMCA-Rootzertifikat signierte Lösungsbenutzerzertifikate für den Lösungsbenutzer „machine“ auf jedem Platform Services Controller und jedem Verwaltungsknoten sowie für jeden zusätzlichen Lösungsbenutzer (vpxd, vpxd-extension, vsphere-webclient) auf jedem Verwaltungsknoten.

    Anmerkung:

    Der Parameter --Name muss eindeutig sein. Durch die Angabe des Namens des Lösungsbenutzerspeichers ist auf einfache Weise erkennbar, welches Zertifikat welchem Lösungsbenutzer zugeordnet ist. Dieses Beispiel umfasst in jedem Fall den Namen, z. B. vpxd oder vpxd-extension.

    1. Führen Sie den folgenden Befehl auf dem Platform Services Controller-Knoten aus, um für den Lösungsbenutzer „machine“ auf diesem Knoten ein Lösungsbenutzerzertifikat zu generieren.

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine 
      
    2. Generieren Sie für den Lösungsbenutzer „machine“ auf jedem Verwaltungsknoten ein Zertifikat.

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine --server=<psc-ip-or-fqdn>
      
    3. Generieren Sie für den vpxd-Lösungsbenutzer auf jedem Verwaltungsknoten ein Zertifikat.

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vpxd.crt --privkey=vpxd-key.priv --Name=vpxd --server=<psc-ip-or-fqdn>
      
    4. Generieren Sie für den vpxd-extensions-Lösungsbenutzer auf jedem Verwaltungsknoten ein Zertifikat.

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vpxd-extension.crt --privkey=vpxd-extension-key.priv --Name=vpxd-extension --server=<psc-ip-or-fqdn>
      
    5. Generieren Sie für den vsphere-webclient-Lösungsbenutzer auf jedem Verwaltungsknoten ein Zertifikat, indem Sie den folgenden Befehl ausführen.

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vsphere-webclient.crt --privkey=vsphere-webclient-key.priv --Name=vsphere-webclient --server=<psc-ip-or-fqdn>
  3. Ersetzen Sie die Lösungsbenutzerzertifikate in VECS durch die neuen Lösungsbenutzerzertifikate.

    Anmerkung:

    Die Parameter --store und --alias müssen genau mit den Standardnamen für die Dienste übereinstimmen.

    1. Führen Sie auf dem Platform Services Controller-Knoten den folgenden Befehl aus, um das Lösungsbenutzerzertifikat „machine“ zu ersetzen:

      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store machine --alias machine
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store machine --alias machine --cert new-machine.crt --key machine-key.priv
      
    2. Ersetzen Sie das Lösungsbenutzerzertifikat „machine“ auf jedem Verwaltungsknoten:

      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store machine --alias machine
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store machine --alias machine --cert new-machine-vc.crt --key machine-vc-key.priv
      
    3. Ersetzen Sie das vpxd-Lösungsbenutzerzertifikat auf jedem Verwaltungsknoten.

      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vpxd --alias vpxd
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vpxd --alias vpxd --cert new-vpxd.crt --key vpxd-key.priv
      
    4. Ersetzen Sie das vpxd-extension-Lösungsbenutzerzertifikat auf jedem Verwaltungsknoten.

      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vpxd-extension --alias vpxd-extension
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vpxd-extension --alias vpxd-extension --cert new-vpxd-extension.crt --key vpxd-extension-key.priv
      
    5. Ersetzen Sie das vsphere-webclient-Lösungsbenutzerzertifikat auf jedem Verwaltungsknoten.

      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vsphere-webclient --alias vsphere-webclient
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vsphere-webclient --alias vsphere-webclient --cert new-vsphere-webclient.crt --key vsphere-webclient-key.priv
      
  4. Aktualisieren Sie den VMware Directory Service (vmdir) mit den neuen Lösungsbenutzerzertifikaten. Sie werden Zur Eingabe eines vCenter Single Sign On-Administratorkennworts aufgefordert.

    1. Führen Sie dir-cli service list aus, um für jeden Lösungsbenutzer das eindeutige Dienst-ID-Suffix abzurufen. Sie können diesen Befehl auf einem Platform Services Controller oder für ein vCenter Server-System ausführen.

      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli>dir-cli service list
      output:
      1. machine-29a45d00-60a7-11e4-96ff-00505689639a
      2. machine-6fd7f140-60a9-11e4-9e28-005056895a69
      3. vpxd-6fd7f140-60a9-11e4-9e28-005056895a69
      4. vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69
      5. vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69

      Anmerkung:

      Wenn Sie Lösungsbenutzerzertifikate bei großen Bereitstellungen auflisten, enthält die Ausgabe von dir-cli list alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.

    2. Ersetzen Sie das Maschinenzertifikat in vmdir auf dem Platform Services Controller. Wenn beispielsweise „machine-29a45d00-60a7-11e4-96ff-00505689639a“ der Lösungsbenutzer „machine“ auf dem Platform Services Controller ist, führen Sie diesen Befehl aus:

      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name machine-29a45d00-60a7-11e4-96ff-00505689639a --cert new-machine-1.crt
    3. Ersetzen Sie das Maschinenzertifikat in vmdir auf jedem Verwaltungsknoten. Wenn beispielsweise „machine-6fd7f140-60a9-11e4-9e28-005056895a69“ der Lösungsbenutzer „machine“ auf dem vCenter Server ist, führen Sie diesen Befehl aus:

      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name machine-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-machine-2.crt
    4. Ersetzen Sie das vpxd-Lösungsbenutzerzertifikat in vmdir auf jedem Verwaltungsknoten. Wenn beispielsweise „vpxd-6fd7f140-60a9-11e4-9e28-005056895a69“ die vpxd-Lösungsbenutzer-ID ist, führen Sie diesen Befehl aus:

      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd.crt
    5. Ersetzen Sie das vpxd-extension-Lösungsbenutzerzertifikat in vmdir auf jedem Verwaltungsknoten. Wenn beispielsweise „vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69“ die vpxd-extension-Lösungsbenutzer-ID ist, führen Sie diesen Befehl aus:

      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd-extension.crt
      
    6. Ersetzen Sie das vsphere-webclient-Lösungsbenutzerzertifikat auf jedem Verwaltungsknoten. Wenn beispielsweise „vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69“ die vsphere-webclient-Lösungsbenutzer-ID ist, führen Sie diesen Befehl aus:

      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vsphere-webclient.crt