Für das Verwenden von benutzerdefinierten Zertifikaten mit vSphere Authentication Proxy sind mehrere Schritte erforderlich. Als Erstes generieren Sie einen CSR und leiten diesen zum Signieren an Ihre Zertifizierungsstelle weiter. Dann speichern Sie das signierte Zertifikat und die Schlüsseldatei an einem Speicherort, auf den vSphere Authentication Proxy zugreifen kann.
Standardmäßig generiert vSphere Authentication Proxy einen CSR während des anfänglichen Startvorgangs und fordert VMCA auf, diesen CSR zu signieren. vSphere Authentication Proxy verwendet dieses Zertifikat, um sich bei vCenter Server zu registrieren. Sie können benutzerdefinierte Zertifikate in Ihrer Umgebung verwenden, wenn Sie diese Zertifikate zu vCenter Server hinzufügen.
Prozedur
- Generieren Sie einen CSR für vSphere Authentication Proxy.
- Erstellen Sie die Konfigurationsdatei /var/lib/vmware/vmcam/ssl/vmcam.cfg nach dem nachfolgenden Beispiel.
[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:dns.static-1.csl.vmware.com
[ req_distinguished_name ]
countryName = IE
stateOrProvinceName = Cork
localityName = Cork
0.organizationName = VMware
organizationalUnitName = vTSU
commonName = test-cam-1.test1.vmware.com
- Führen Sie unter Angabe der Konfigurationsdatei openssl aus, um eine CSR- und eine Schlüsseldatei zu generieren.
openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
- Sichern Sie die Zertifikatsdateien rui.crt und rui.key, welche sich im folgenden Speicherort befinden.
Betriebssystem |
Speicherort |
vCenter Server Appliance |
/var/lib/vmware/vmcam/ssl/rui.crt |
vCenter Server – Windows |
C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt |
- Heben Sie die Registrierung von vSphere Authentication Proxy auf.
- Navigieren Sie zu dem Verzeichnis, in dem sich das camregister-Skript befindet.
Betriebssystem |
Befehle |
vCenter Server Appliance |
/usr/lib/vmware-vmcam/bin |
vCenter Server – Windows |
C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt |
- Führen Sie den folgenden Befehl aus.
camregister --unregister -a VC_address -u user
Benutzer muss ein vCenter Single Sign-On-Benutzer mit Administratorberechtigungen für
vCenter Server sein.
- Halten Sie den vSphere Authentication Proxy-Dienst an.
Tool |
Schritte |
vSphere Web Client |
- Klicken Sie auf Verwaltung und anschließend auf Systemkonfiguration unter Bereitstellung.
- Klicken Sie auf Dienste und anschließend auf den Dienst VMware vSphere Authentication Proxy und halten Sie den Dienst an.
|
Befehlszeilenschnittstelle |
service-control --stop vmcam
|
- Ersetzen Sie die bestehenden Zertifikatsdateien rui.crt und rui.key durch die Dateien, die Sie von Ihrer Zertifizierungsstelle erhalten haben.
- Starten Sie den vSphere Authentication Proxy-Dienst neu.
- Registrieren Sie vSphere Authentication Proxy mithilfe des neuen Zertifikats und des neuen Schlüssels explizit bei vCenter Server neu.
camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key