Standardmäßig stattet der Auto Deploy-Server jeden Host mit Zertifikaten aus, die von VMCA signiert wurden. Sie können den Auto Deploy-Server jedoch auch so konfigurieren, dass er alle Hosts mit nicht von VMCA signierten Zertifikaten ausstattet. Dabei wird der Auto Deploy-Server zu einer Zwischenzertifizierungsstelle für Ihre Drittanbieter-Zertifizierungsstelle.
Voraussetzungen
- Fordern Sie ein Zertifikat von Ihrer Zertifizierungsstelle an. Die Zertifikatsdatei muss die folgenden Anforderungen erfüllen.
- Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)
- PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
- x509 Version 3
- Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.
- „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
- CRT-Format
- Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung
- Startzeit von einem Tag vor dem aktuellen Zeitpunkt.
- CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.
- Benennen Sie die Zertifikatdatei rbd-ca.crt und die Schlüsseldatei rbd-ca.key.
Prozedur
- Sichern Sie die standardmäßigen ESXi-Zertifikate.
Die Zertifikate befinden sich im Verzeichnis
/etc/vmware-rbd/ssl/.
- Halten Sie den vSphere Authentication Proxy-Dienst an.
Tool |
Schritte |
vCenter Server Appliance Management Interface (VAMI) |
- Navigieren Sie in einem Webbrowser zur Verwaltungsschnittstelle der vCenter Server Appliance, https:// appliance-IP-address-or-FQDN:5480.
- Melden Sie sich als „root“ an.
Das standardmäßige Root-Kennwort ist das Kennwort, das Sie während der Bereitstellung der vCenter Server Appliance festlegen.
- Klicken Sie auf Dienste und anschließend auf den VMware vSphere Authentication Proxy-Dienst.
- Klicken Sie auf Beenden.
|
vSphere Web Client |
- Wählen Sie Verwaltung aus und klicken Sie unter Bereitstellung auf Systemkonfiguration.
- Klicken Sie auf Dienste und anschließend auf den Dienst VMware vSphere Authentication Proxy.
- Klicken Sie auf das rote Symbol Dienst beenden.
|
Befehlszeilenschnittstelle |
service-control --stop vmcam
|
- Ersetzen Sie auf dem System, auf dem der Auto Deploy-Dienst ausgeführt wird, die Dateien rbd-ca.crt und rbd-ca.key in /etc/vmware-rbd/ssl/ durch Ihr benutzerdefiniertes Zertifikat bzw. die Schlüsseldateien.
- Verwenden Sie in dem System, auf dem der Auto Deploy-Dienst ausgeführt wird, die folgenden Befehle, um den TRUSTED_ROOTS-Speicher in VECS zu aktualisieren und die neuen Zertifikate zu nutzen.
Option |
Beschreibung |
Windows |
cd "C:\Program Files\VMware\vCenter Server\vmafdd\"
.\dir-cli.exe trustedcert publish --cert C:\ProgramData\VMware\vCenterServer\data\autodeploy\ssl\rbd-ca.crt
.\vecs-cli force-refresh |
Linux |
/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
/usr/lib/vmware-vmafd/bin/vecs-cli force-refresh |
- Erstellen Sie die Datei castore.pem, die den Inhalt des TRUSTED_ROOTS-Speichers enthält, und fügen Sie sie in das Verzeichnis /etc/vmware-rbd/ssl/ ein.
Im benutzerdefinierten Modus sind Sie für die Wartung dieser Datei verantwortlich.
- Ändern Sie den ESXi-Zertifikatmodus für das vCenter Server-System in benutzerdefiniert.
- Starten Sie den vCenter Server-Dienst neu und starten Sie den Auto Deploy-Dienst.
Ergebnisse
Das nächste Mal, wenn Sie einen für die Verwendung von Auto Deploy eingerichteten Host bereitstellen, generiert der Auto Deploy-Server ein Zertifikat. Der Auto Deploy-Server verwendet das Root-Zertifikat, das Sie zum TRUSTED_ROOTS-Speicher hinzugefügt haben.
Hinweis: Wenn Sie Probleme mit dem automatischen Einsatz nach der Zertifikatsersetzung haben, lesen Sie sich den VMware-Knowledgebase-Artikel unter
http://kb.vmware.com/kb/2000988 durch.