Nachdem Sie ein neues VMCA-signiertes Rootzertifikat generiert haben, können Sie alle Maschinen-SSL-Zertifikate in Ihrer Umgebung ersetzen.
Für jede Maschine ist ein Maschinen-SSL-Zertifikat für die sichere Kommunikation mit anderen Diensten erforderlich. Bei einer Bereitstellung mit mehreren Knoten müssen Sie die Befehle zum Generieren von Maschinen-SSL-Zertifikaten auf jedem Knoten ausführen. Verwenden Sie den Parameter --server, um von einem vCenter Server mit externem Platform Services Controller aus auf den Platform Services Controller zu verweisen.
Voraussetzungen
Sie sollten darauf vorbereitet sein, alle Dienste zu beenden und die Dienste für die Weitergabe und Speicherung von Zertifikaten zu starten.
Prozedur
Beispiel: Ersetzen der Maschinenzertifikate durch VMCA-signierte Zertifikate
- Erstellen Sie eine Konfigurationsdatei für das SSL-Zertifikat und speichern Sie sie unter dem Namen ssl-config.cfg im aktuellen Verzeichnis.
Country = US Name = vmca-<PSC-FQDN-example> Organization = <my_company> OrgUnit = <my_company Engineering> State = <my_state> Locality = <mytown> Hostname = <FQDN>
- Generieren Sie ein Schlüsselpaar für das Maschinen-SSL-Zertifikat. Führen Sie diesen Befehl auf jedem Verwaltungsknoten und Platform Services Controller-Knoten aus. Die Option --server ist dabei nicht erforderlich.
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --genkey --privkey=ssl-key.priv --pubkey=ssl-key.pub
Die Dateien ssl-key.priv und ssl-key.pub werden im aktuellen Verzeichnis erstellt.
- Generieren Sie das neue Maschinen-SSL-Zertifikat. Dieses Zertifikat ist VMCA-signiert. Wenn Sie das VMCA-Rootzertifikat durch ein benutzerdefiniertes Zertifikat ersetzt haben, signiert VMCA alle Zertifikate mit der vollständigen Zertifikatskette.
- In einem Platform Services Controller-Knoten oder einer eingebetteten Installation:
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vmca-ssl.crt --privkey=ssl-key.priv --config=ssl-config.cfg
- Auf einem vCenter Server (externe Installation):
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --gencert --cert=new-vmca-ssl.crt --privkey=ssl-key.priv --config=ssl-config.cfg --server=<psc-ip-or-fqdn>
Die Datei new-vmca-ssl.crt wird im aktuellen Verzeichnis erstellt.
- In einem Platform Services Controller-Knoten oder einer eingebetteten Installation:
- (Optional) Listen Sie den Inhalt von VECS auf.
"C:\Program Files\VMware\vCenter Server\vmafdd\" vecs-cli store list
- Beispiel-Ausgabe am Platform Services Controller:
MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine
- Beispiel-Ausgabe am vCenter Server:
output (on vCenter): MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine vpxd vpxd-extension vsphere-webclient sms
- Beispiel-Ausgabe am Platform Services Controller:
- Ersetzen Sie das Maschinen-SSL-Zertifikat in VECS durch das neue Maschinen-SSL-Zertifikat. Die Werte --store und --alias müssen genau mit den Standardnamen übereinstimmen.
- Führen Sie auf dem Platform Services Controller den folgenden Befehl aus, um das Maschinen-SSL-Zertifikat im MACHINE_SSL_CERT-Speicher zu aktualisieren.
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert new-vmca-ssl.crt --key ssl-key.priv
- Führen Sie auf jedem Verwaltungsknoten oder für jede eingebettete Bereitstellung den folgenden Befehl aus, um das Maschinen-SSL-Zertifikat im MACHINE_SSL_CERT-Speicher zu aktualisieren. Sie müssen das Zertifikat für jede Maschine separat aktualisieren, da jedes Zertifikat einen unterschiedlichen FQDN aufweist.
C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT C:\>"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert new-vmca-ssl.crt --key ssl-key.priv
- Führen Sie auf dem Platform Services Controller den folgenden Befehl aus, um das Maschinen-SSL-Zertifikat im MACHINE_SSL_CERT-Speicher zu aktualisieren.
Nächste Maßnahme
Sie können auch die Zertifikate für Ihre ESXi-Hosts ersetzen. Weitere Informationen finden Sie in der Dokumentation zu vSphere-Sicherheit.
Nach dem Ersetzen des Rootzertifikats bei einer Bereitstellung mit mehreren Knoten müssen Sie die Dienste für alle vCenter Server-Knoten mit externem Platform Services Controller neu starten.