Für das Verwenden von benutzerdefinierten Zertifikaten mit vSphere Authentication Proxy sind mehrere Schritte erforderlich. Als Erstes generieren Sie einen CSR und leiten diesen zum Signieren an Ihre Zertifizierungsstelle weiter. Dann speichern Sie das signierte Zertifikat und die Schlüsseldatei an einem Speicherort, auf den vSphere Authentication Proxy zugreifen kann.

Warum und wann dieser Vorgang ausgeführt wird

Standardmäßig generiert vSphere Authentication Proxy einen CSR während des anfänglichen Startvorgangs und fordert VMCA auf, diesen CSR zu signieren. vSphere Authentication Proxy verwendet dieses Zertifikat, um sich bei vCenter Server zu registrieren. Sie können benutzerdefinierte Zertifikate in Ihrer Umgebung verwenden, wenn Sie diese Zertifikate zu vCenter Server hinzufügen.

Prozedur

  1. Generieren Sie einen CSR für vSphere Authentication Proxy.
    1. Erstellen Sie die Konfigurationsdatei /var/lib/vmware/vmcam/ssl/vmcam.cfg nach dem nachfolgenden Beispiel.
      [ req ]
      distinguished_name = req_distinguished_name
      encrypt_key = no
      prompt = no
      string_mask = nombstr
      req_extensions = v3_req
      [ v3_req ]
      basicConstraints = CA:false
      keyUsage = nonRepudiation, digitalSignature, keyEncipherment
      subjectAltName = DNS:olearyf-static-1.csl.vmware.com
      [ req_distinguished_name ]
      countryName = IE
      stateOrProvinceName = Cork
      localityName = Cork
      0.organizationName = VMware
      organizationalUnitName = vTSU
      commonName = test-cam-1.test1.vmware.com
    2. Führen Sie unter Angabe der Konfigurationsdatei openssl aus, um eine CSR- und eine Schlüsseldatei zu generieren.
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. Sichern Sie die Zertifikatsdateien rui.crt und rui.key, welche sich im folgenden Speicherort befinden.

    Betriebssystem

    Speicherort

    vCenter Server Appliance

    /var/lib/vmware/vmcam/ssl/rui.crt

    vCenter Server – Windows

    C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt

  3. Heben Sie die Registrierung von vSphere Authentication Proxy auf.
    1. Navigieren Sie zu dem Verzeichnis, in dem sich das camregister-Skript befindet.

      Betriebssystem

      Befehle

      vCenter Server Appliance

      /usr/lib/vmware-vmcam/bin

      vCenter Server – Windows

      C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt

    2. Führen Sie den folgenden Befehl aus.
      camregister --unregister -a VC_address -u Benutzer
      

      Benutzer muss ein vCenter Single Sign-On-Benutzer mit Administratorberechtigungen für vCenter Server sein.

  4. Halten Sie den vSphere Authentication Proxy-Dienst an.

    Tool

    Schritte

    vSphere Web Client

    1. Klicken Sie auf Verwaltung und anschließend auf Systemkonfiguration unter Bereitstellung.

    2. Klicken Sie auf Dienste und anschließend auf den Dienst VMware vSphere Authentication Proxy und halten Sie den Dienst an.

    Befehlszeilenschnittstelle

    service-control --stop vmcam
    
  5. Ersetzen Sie die bestehenden Zertifikatsdateien rui.crt und rui.key durch die Dateien, die Sie von Ihrer Zertifizierungsstelle erhalten haben.
  6. Starten Sie den vSphere Authentication Proxy-Dienst neu.
  7. Registrieren Sie vSphere Authentication Proxy mithilfe des neuen Zertifikats und des neuen Schlüssels explizit bei vCenter Server neu.
    camregister --register -a VC_address -u user -c vollständiger_Pfad_von_rui.crt -k vollständiger_Pfad_von_rui.key