Nachdem Sie die benutzerdefinierten Zertifikate erhalten haben, können Sie jedes Maschinenzertifikat ersetzen.

Für jede Maschine ist ein Maschinen-SSL-Zertifikat für die sichere Kommunikation mit anderen Diensten erforderlich. Bei einer Bereitstellung mit mehreren Knoten müssen Sie die Befehle zum Generieren von Maschinen-SSL-Zertifikaten auf jedem Knoten ausführen. Verwenden Sie den Parameter --server, um von einem vCenter Server mit externem Platform Services Controller aus auf den Platform Services Controller zu verweisen.

Sie benötigen die folgenden Informationen, bevor Sie mit dem Ersetzen der Zertifikate beginnen können:
  • Kennwort für „[email protected]“.
  • Gültiges benutzerdefiniertes Maschinen-SSL-Zertifikat (.crt-Datei).
  • Gültiger benutzerdefinierter Maschinen-SSL-Schlüssel (.key-Datei).
  • Gültiges benutzerdefiniertes Zertifikat für Root (.crt-Datei).
  • Die IP-Adresse des Platform Services Controller, wenn Sie den Befehl für einen vCenter Server mit externem Platform Services Controller in einer Bereitstellung mit mehreren Knoten ausführen.

Voraussetzungen

Sie müssen für jede Maschine ein Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erhalten haben.

  • Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)
  • CRT-Format
  • x509 Version 3
  • „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
  • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung

Prozedur

  1. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.
    Die Dienstnamen sind unter Windows und bei der vCenter Server Appliance unterschiedlich.
    Hinweis: Wenn in Ihrer Umgebung ein externer Platform Services Controller verwendet wird, brauchen Sie VMware Directory Service (vmdird) und VMware Certificate Authority (vmcad) auf dem vCenter Server-Knoten nicht zu beenden und zu starten. Diese Dienste werden unter dem Platform Services Controller ausgeführt.
    Windows 
    service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
    vCenter Server Appliance 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  2. Melden Sie sich bei jedem Knoten an und fügen Sie die neuen Maschinenzertifikate, die Sie von der Zertifizierungsstelle erhalten haben, zu VECS hinzu.
    Alle Maschinen benötigen das neue Zertifikat im lokalen Zertifikatspeicher für die Kommunikation über SSL. 
    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>
  3. Starten Sie alle Dienste neu. 
    service-control --start --all

Beispiel: Ersetzen der Maschinen-SSL-Zertifikate durch benutzerdefinierte Zertifikate

In diesem Beispiel wird die Vorgehensweise zum Ersetzen des Maschinen-SSL-Zertifikats durch ein benutzerdefiniertes Zertifikat in einer Windows-Installation gezeigt. Sie können das Maschinen-SSL-Zertifikat für jeden Knoten auf dieselbe Weise ersetzen.
  1. Löschen Sie zunächst das vorhandene Zertifikat in VECS. 
    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
  2. Fügen Sie anschließend das Ersatzzertifikat hinzu. 
    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv