Nachdem Sie die Maschinen-SSL-Zertifikate ersetzt haben, können Sie die VMCA-signierten Lösungsbenutzerzertifikate durch Drittanbieter- oder Unternehmenszertifikate ersetzen.

Warum und wann dieser Vorgang ausgeführt wird

Viele VMware-Kunden tauschen Lösungsbenutzerzertifikate nicht aus. Sie tauschen lediglich die Maschinen-SSL-Zertifikate gegen benutzerdefinierte Zertifikate aus. Mit dieser hybriden Herangehensweise werden die Anforderungen ihrer Sicherheitsteams erfüllt.

  • Zertifikate befinden sich entweder hinter einem Proxy-Server oder stellen benutzerdefinierte Zertifikate dar.

  • Es werden keine Zwischenzertifizierungsstellen verwendet.

Lösungsbenutzer verwenden Zertifikate für die Authentifizierung bei vCenter Single Sign On. Wenn das Zertifikat gültig ist, weist vCenter Single Sign On dem Lösungsbenutzer ein SAML-Token zu, und der Lösungsbenutzer verwendet das SAML-Token für die Authentifizierung bei anderen vCenter-Komponenten.

Sie ersetzen das Lösungsbenutzerzertifikat „machine“ auf jedem Verwaltungsknoten und auf jedem Platform Services Controller-Knoten. Die anderen Lösungsbenutzerzertifikate ersetzen Sie nur auf jedem Verwaltungsknoten. Verwenden Sie den Parameter --server, um auf den Platform Services Controller zu verweisen, wenn Sie Befehle auf einem Verwaltungsknoten mit einem externen Platform Services Controller ausführen.

Anmerkung:

Wenn Sie Lösungsbenutzerzertifikate bei großen Bereitstellungen auflisten, enthält die Ausgabe von dir-cli list alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.

Voraussetzungen

  • Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)

  • CRT-Format

  • x509 Version 3

  • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten

  • Für jedes Lösungsbenutzerzertifikat ist ein unterschiedlicher Wert für Subject erforderlich. Geben Sie beispielsweise den Lösungsbenutzernamen (z. B. vpxd) oder einen anderen eindeutigen Bezeichner an.

  • Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung

Prozedur

  1. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmca
    
  2. Suchen Sie den Namen für jeden Lösungsbenutzer.
    dir-cli service list 
    

    Sie können die eindeutige ID verwenden, die beim Ersetzen der Zertifikate zurückgegeben wird. Die Ein- und Ausgabe könnte so oder ähnlich wie im Folgenden aussehen.

    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
    Enter password for administrator@vsphere.local:
    1. machine-1d364500-4b45-11e4-96c2-020011c98db3
    2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
    3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
    4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3

    Wenn Sie Lösungsbenutzerzertifikate bei Bereitstellungen mit mehreren Knoten auflisten, enthält die Ausgabe von dir-cli alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.

  3. Ersetzen Sie für jeden Lösungsbenutzer das vorhandene Zertifikat in VECS und anschließend in vmdir.

    Sie müssen die Zertifikate in dieser Reihenfolge hinzufügen.

    vecs-cli entry delete --store vpxd --alias vpxd
    vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    dir-cli service update --name <vpxd-xxxx-xxx-xxxxxx> --cert vpxd.crt
    
    Anmerkung:

    Lösungsbenutzer können sich nur bei vCenter Single Sign On authentifizieren, wenn Sie das Zertifikat in vmdir ersetzen.

  4. Starten Sie alle Dienste neu.
    service-control --start --all