Nachdem Sie die Maschinen-SSL-Zertifikate ersetzt haben, können Sie alle Lösungsbenutzerzertifikate ersetzen. Lösungsbenutzerzertifikate müssen gültig sein (also nicht abgelaufen), aber die anderen Informationen des Zertifikats werden nicht von der Zertifikatinfrastruktur verwendet.

Viele VMware-Kunden tauschen Lösungsbenutzerzertifikate nicht aus. Sie tauschen lediglich die Maschinen-SSL-Zertifikate gegen benutzerdefinierte Zertifikate aus. Mit dieser hybriden Herangehensweise werden die Anforderungen ihrer Sicherheitsteams erfüllt.
  • Zertifikate befinden sich entweder hinter einem Proxy-Server oder stellen benutzerdefinierte Zertifikate dar.
  • Es werden keine Zwischenzertifizierungsstellen verwendet.

Sie ersetzen das Lösungsbenutzerzertifikat „machine“ auf jedem Verwaltungsknoten und auf jedem Platform Services Controller-Knoten. Die anderen Lösungsbenutzerzertifikate ersetzen Sie nur auf jedem Verwaltungsknoten. Verwenden Sie den Parameter --server, um auf den Platform Services Controller zu verweisen, wenn Sie Befehle auf einem Verwaltungsknoten mit einem externen Platform Services Controller ausführen.

Hinweis: Wenn Sie Lösungsbenutzerzertifikate bei großen Bereitstellungen auflisten, enthält die Ausgabe von dir-cli list alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.

Voraussetzungen

Sie sollten darauf vorbereitet sein, alle Dienste zu beenden und die Dienste für die Weitergabe und Speicherung von Zertifikaten zu starten.

Prozedur

  1. Erstellen Sie eine Kopie von certool.cfg, entfernen Sie die Felder für den Namen, die IP-Adresse, den DNS-Namen und die E-Mail-Adresse und benennen Sie die Datei z. B. in sol_usr.cfg um.
    Sie können die Zertifikate im Rahmen des Generierungsvorgangs über die Befehlszeile benennen. Die restlichen Informationen sind für Lösungsbenutzer nicht erforderlich. Wenn Sie die Standardinformationen unverändert lassen, könnten die generierten Zertifikate für Verwirrung sorgen.
  2. Generieren Sie für jeden Lösungsbenutzer ein öffentliches/privates Schlüsseldateipaar sowie ein Zertifikat und übergeben Sie die Konfigurationsdatei, die Sie soeben angepasst haben.
    Beispiel:
    certool --genkey --privkey=vpxd.priv --pubkey=vpxd.pub 
    certool --gencert --privkey=vpxd.priv --cert vpxd.crt --Name=VPXD_1 --config sol_usr.cfg
  3. Suchen Sie den Namen für jeden Lösungsbenutzer.
    dir-cli service list 
    
    Sie können die eindeutige ID verwenden, die beim Ersetzen der Zertifikate zurückgegeben wird. Die Ein- und Ausgabe könnte so oder ähnlich wie im Folgenden aussehen.
    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
    Enter password for [email protected]:
    1. machine-1d364500-4b45-11e4-96c2-020011c98db3
    2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
    3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
    4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3
    Wenn Sie Lösungsbenutzerzertifikate bei Bereitstellungen mit mehreren Knoten auflisten, enthält die Ausgabe von dir-cli alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.
  4. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.
    Die Dienstnamen sind unter Windows und bei der vCenter Server Appliance unterschiedlich.
    Hinweis: Wenn in Ihrer Umgebung ein externer Platform Services Controller verwendet wird, brauchen Sie VMware Directory Service (vmdird) und VMware Certificate Authority (vmcad) auf dem vCenter Server-Knoten nicht zu beenden und zu starten. Diese Dienste werden unter dem Platform Services Controller ausgeführt.
    Windows
    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    
    vCenter Server Appliance
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  5. Ersetzen Sie für jeden Lösungsbenutzer das vorhandene Zertifikat in vmdir und anschließend in VECS.
    Das folgende Beispiel veranschaulicht, wie die Zertifikate für den vpxd-Dienst ersetzt werden.
    dir-cli service update --name <vpxd-xxxx-xxx-7c7b769cd9f4> --cert ./vpxd.crt
    vecs-cli entry delete --store vpxd --alias vpxd
    vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    
    
    Hinweis: Lösungsbenutzer können sich nur bei vCenter Single Sign On authentifizieren, wenn Sie das Zertifikat in vmdir ersetzen.
  6. Starten Sie alle Dienste neu.
    service-control --start --all
    

Beispiel: Verwenden von VMCA-signierten Lösungsbenutzerzertifikaten

  1. Generieren Sie für jeden Lösungsbenutzer ein öffentliches/privates Schlüsselpaar. Dies beinhaltet ein Schlüsselpaar für den Lösungsbenutzer „machine“ auf jedem Platform Services Controller und jedem Verwaltungsknoten sowie ein Schlüsselpaar für jeden zusätzlichen Lösungsbenutzer (vpxd, vpxd-extension, vsphere-webclient) auf jedem Verwaltungsknoten.
    1. Generieren Sie für den Lösungsbenutzer „machine“ einer eingebetteten Bereitstellung oder für den Lösungsbenutzer „machine“ des Platform Services Controller ein Schlüsselpaar.
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
      
    2. (Optional) Generieren Sie für Bereitstellungen mit einem externen Platform Services Controller für den Lösungsbenutzer „machine“ ein Schlüsselpaar auf jedem Verwaltungsknoten.
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
    3. Generieren Sie für den vpxd-Lösungsbenutzer ein Schlüsselpaar auf jedem Verwaltungsknoten.
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vpxd-key.priv --pubkey=vpxd-key.pub
    4. Generieren Sie für den vpxd-extension-Lösungsbenutzer ein Schlüsselpaar auf jedem Verwaltungsknoten.
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vpxd-extension-key.priv --pubkey=vpxd-extension-key.pub
    5. Generieren Sie für den vsphere-webclient-Lösungsbenutzer ein Schlüsselpaar auf jedem Verwaltungsknoten.
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=vsphere-webclient-key.priv --pubkey=vsphere-webclient-key.pub
  2. Generieren Sie vom neuen VMCA-Rootzertifikat signierte Lösungsbenutzerzertifikate für den Lösungsbenutzer „machine“ auf jedem Platform Services Controller und jedem Verwaltungsknoten sowie für jeden zusätzlichen Lösungsbenutzer (vpxd, vpxd-extension, vsphere-webclient) auf jedem Verwaltungsknoten.
    Hinweis: Der Parameter --Name muss eindeutig sein. Durch die Angabe des Namens des Lösungsbenutzerspeichers ist auf einfache Weise erkennbar, welches Zertifikat welchem Lösungsbenutzer zugeordnet ist. Dieses Beispiel umfasst in jedem Fall den Namen, z. B. vpxd oder vpxd-extension.
    1. Führen Sie den folgenden Befehl auf dem Platform Services Controller-Knoten aus, um für den Lösungsbenutzer „machine“ auf diesem Knoten ein Lösungsbenutzerzertifikat zu generieren.
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine 
      
    2. Generieren Sie für den Lösungsbenutzer „machine“ auf jedem Verwaltungsknoten ein Zertifikat.
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine --server=<psc-ip-or-fqdn>
      
    3. Generieren Sie für den vpxd-Lösungsbenutzer auf jedem Verwaltungsknoten ein Zertifikat.
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vpxd.crt --privkey=vpxd-key.priv --Name=vpxd --server=<psc-ip-or-fqdn>
      
    4. Generieren Sie für den vpxd-extensions-Lösungsbenutzer auf jedem Verwaltungsknoten ein Zertifikat.
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vpxd-extension.crt --privkey=vpxd-extension-key.priv --Name=vpxd-extension --server=<psc-ip-or-fqdn>
      
    5. Generieren Sie für den vsphere-webclient-Lösungsbenutzer auf jedem Verwaltungsknoten ein Zertifikat, indem Sie den folgenden Befehl ausführen.
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vsphere-webclient.crt --privkey=vsphere-webclient-key.priv --Name=vsphere-webclient --server=<psc-ip-or-fqdn>
  3. Ersetzen Sie die Lösungsbenutzerzertifikate in VECS durch die neuen Lösungsbenutzerzertifikate.
    Hinweis: Die Parameter --store und --alias müssen genau mit den Standardnamen für die Dienste übereinstimmen.
    1. Führen Sie auf dem Platform Services Controller-Knoten den folgenden Befehl aus, um das Lösungsbenutzerzertifikat „machine“ zu ersetzen:
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store machine --alias machine
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store machine --alias machine --cert new-machine.crt --key machine-key.priv
      
    2. Ersetzen Sie das Lösungsbenutzerzertifikat „machine“ auf jedem Verwaltungsknoten:
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store machine --alias machine
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store machine --alias machine --cert new-machine-vc.crt --key machine-vc-key.priv
      
    3. Ersetzen Sie das vpxd-Lösungsbenutzerzertifikat auf jedem Verwaltungsknoten.
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vpxd --alias vpxd
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vpxd --alias vpxd --cert new-vpxd.crt --key vpxd-key.priv
      
    4. Ersetzen Sie das vpxd-extension-Lösungsbenutzerzertifikat auf jedem Verwaltungsknoten.
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vpxd-extension --alias vpxd-extension
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vpxd-extension --alias vpxd-extension --cert new-vpxd-extension.crt --key vpxd-extension-key.priv
      
    5. Ersetzen Sie das vsphere-webclient-Lösungsbenutzerzertifikat auf jedem Verwaltungsknoten.
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store vsphere-webclient --alias vsphere-webclient
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store vsphere-webclient --alias vsphere-webclient --cert new-vsphere-webclient.crt --key vsphere-webclient-key.priv
      
  4. Aktualisieren Sie den VMware Directory Service (vmdir) mit den neuen Lösungsbenutzerzertifikaten. Sie werden Zur Eingabe eines vCenter Single Sign On-Administratorkennworts aufgefordert.
    1. Führen Sie dir-cli service list aus, um für jeden Lösungsbenutzer das eindeutige Dienst-ID-Suffix abzurufen. Sie können diesen Befehl auf einem Platform Services Controller oder für ein vCenter Server-System ausführen.
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli>dir-cli service list
      output:
      1. machine-29a45d00-60a7-11e4-96ff-00505689639a
      2. machine-6fd7f140-60a9-11e4-9e28-005056895a69
      3. vpxd-6fd7f140-60a9-11e4-9e28-005056895a69
      4. vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69
      5. vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69
      Hinweis: Wenn Sie Lösungsbenutzerzertifikate bei großen Bereitstellungen auflisten, enthält die Ausgabe von dir-cli list alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.
    2. Ersetzen Sie das Maschinenzertifikat in vmdir auf dem Platform Services Controller. Wenn beispielsweise „machine-29a45d00-60a7-11e4-96ff-00505689639a“ der Lösungsbenutzer „machine“ auf dem Platform Services Controller ist, führen Sie diesen Befehl aus:
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name machine-29a45d00-60a7-11e4-96ff-00505689639a --cert new-machine-1.crt
    3. Ersetzen Sie das Maschinenzertifikat in vmdir auf jedem Verwaltungsknoten. Wenn beispielsweise „machine-6fd7f140-60a9-11e4-9e28-005056895a69“ der Lösungsbenutzer „machine“ auf dem vCenter Server ist, führen Sie diesen Befehl aus:
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name machine-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-machine-2.crt
    4. Ersetzen Sie das vpxd-Lösungsbenutzerzertifikat in vmdir auf jedem Verwaltungsknoten. Wenn beispielsweise „vpxd-6fd7f140-60a9-11e4-9e28-005056895a69“ die vpxd-Lösungsbenutzer-ID ist, führen Sie diesen Befehl aus:
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd.crt
    5. Ersetzen Sie das vpxd-extension-Lösungsbenutzerzertifikat in vmdir auf jedem Verwaltungsknoten. Wenn beispielsweise „vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69“ die vpxd-extension-Lösungsbenutzer-ID ist, führen Sie diesen Befehl aus:
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd-extension.crt
      
    6. Ersetzen Sie das vsphere-webclient-Lösungsbenutzerzertifikat auf jedem Verwaltungsknoten. Wenn beispielsweise „vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69“ die vsphere-webclient-Lösungsbenutzer-ID ist, führen Sie diesen Befehl aus:
      C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"dir-cli service update --name vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vsphere-webclient.crt
      

Nächste Maßnahme

Starten Sie alle Dienste auf jedem Platform Services Controller-Knoten und jedem Verwaltungsknoten neu.