Nachdem Sie die benutzerdefinierten Zertifikate erhalten haben, können Sie jedes Maschinenzertifikat ersetzen.

Warum und wann dieser Vorgang ausgeführt wird

Für jede Maschine ist ein Maschinen-SSL-Zertifikat für die sichere Kommunikation mit anderen Diensten erforderlich. Bei einer Bereitstellung mit mehreren Knoten müssen Sie die Befehle zum Generieren von Maschinen-SSL-Zertifikaten auf jedem Knoten ausführen. Verwenden Sie den Parameter --server, um von einem vCenter Server mit externem Platform Services Controller aus auf den Platform Services Controller zu verweisen.

Sie benötigen die folgenden Informationen, bevor Sie mit dem Ersetzen der Zertifikate beginnen können:

  • Kennwort für „administrator@vsphere.local“.

  • Gültiges benutzerdefiniertes Maschinen-SSL-Zertifikat (.crt-Datei).

  • Gültiger benutzerdefinierter Maschinen-SSL-Schlüssel (.key-Datei).

  • Gültiges benutzerdefiniertes Zertifikat für Root (.crt-Datei).

  • Die IP-Adresse des Platform Services Controller, wenn Sie den Befehl für einen vCenter Server mit externem Platform Services Controller in einer Bereitstellung mit mehreren Knoten ausführen.

Voraussetzungen

Sie müssen für jede Maschine ein Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erhalten haben.

  • Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)

  • CRT-Format

  • x509 Version 3

  • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten

  • Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung

Prozedur

  1. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.

    Die Dienstnamen sind unter Windows und bei der vCenter Server Appliance unterschiedlich.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  2. Melden Sie sich bei jedem Knoten an und fügen Sie die neuen Maschinenzertifikate, die Sie von der Zertifizierungsstelle erhalten haben, zu VECS hinzu.

    Alle Maschinen benötigen das neue Zertifikat im lokalen Zertifikatspeicher für die Kommunikation über SSL.

    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
    --key <key-file-path>
  3. Starten Sie alle Dienste neu.
    service-control --start --all
    

Ersetzen der Maschinen-SSL-Zertifikate durch benutzerdefinierte Zertifikate

Sie können das Maschinen-SSL-Zertifikat für jeden Knoten auf dieselbe Weise ersetzen.

  1. Löschen Sie zunächst das vorhandene Zertifikat in VECS.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
  2. Fügen Sie anschließend das Ersatzzertifikat hinzu.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv