Für das Verwenden von benutzerdefinierten Zertifikaten mit vSphere Authentication Proxy sind mehrere Schritte erforderlich. Als Erstes generieren Sie einen CSR und leiten diesen zum Signieren an Ihre Zertifizierungsstelle weiter. Dann speichern Sie das signierte Zertifikat und die Schlüsseldatei an einem Speicherort, auf den vSphere Authentication Proxy zugreifen kann.

Standardmäßig generiert vSphere Authentication Proxy einen CSR während des anfänglichen Startvorgangs und fordert VMCA auf, diesen CSR zu signieren. vSphere Authentication Proxy verwendet dieses Zertifikat, um sich bei vCenter Server zu registrieren. Sie können benutzerdefinierte Zertifikate in Ihrer Umgebung verwenden, wenn Sie diese Zertifikate zu vCenter Server hinzufügen.

Prozedur

  1. Generieren Sie einen CSR für vSphere Authentication Proxy.
    1. Erstellen Sie die Konfigurationsdatei /var/lib/vmware/vmcam/ssl/vmcam.cfg nach dem nachfolgenden Beispiel.
      [ req ]
      distinguished_name = req_distinguished_name
      encrypt_key = no
      prompt = no
      string_mask = nombstr
      req_extensions = v3_req
      [ v3_req ]
      basicConstraints = CA:false
      keyUsage = nonRepudiation, digitalSignature, keyEncipherment
      subjectAltName = DNS:dns.static-1.csl.vmware.com
      [ req_distinguished_name ]
      countryName = IE
      stateOrProvinceName = Cork
      localityName = Cork
      0.organizationName = VMware
      organizationalUnitName = vTSU
      commonName = test-cam-1.test1.vmware.com
    2. Führen Sie unter Angabe der Konfigurationsdatei openssl aus, um eine CSR- und eine Schlüsseldatei zu generieren.
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. Sichern Sie die Zertifikatsdateien rui.crt und rui.key, welche sich im folgenden Speicherort befinden.
    Betriebssystem Speicherort
    vCenter Server Appliance /var/lib/vmware/vmcam/ssl/rui.crt
    vCenter Server – Windows C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt
  3. Heben Sie die Registrierung von vSphere Authentication Proxy auf.
    1. Navigieren Sie zu dem Verzeichnis, in dem sich das camregister-Skript befindet.
      Betriebssystem Befehle
      vCenter Server Appliance /usr/lib/vmware-vmcam/bin
      vCenter Server – Windows C:\Program Files\VMware\vCenter Server\vmcamd
    2. Führen Sie den folgenden Befehl aus.
      camregister --unregister -a VC_address -u Benutzer
      Benutzer muss ein vCenter Single Sign-On-Benutzer mit Administratorberechtigungen für vCenter Server sein.
  4. Halten Sie den vSphere Authentication Proxy-Dienst an.
    Tool Schritte
    vCenter Server Appliance Management Interface (VAMI)
    1. Navigieren Sie in einem Webbrowser zur Verwaltungsschnittstelle der vCenter Server Appliance, https:// appliance-IP-address-or-FQDN:5480.
    2. Melden Sie sich als „root“ an.

      Das standardmäßige Root-Kennwort ist das Kennwort, das Sie während der Bereitstellung der vCenter Server Appliance festlegen.

    3. Klicken Sie auf Dienste und anschließend auf den VMware vSphere Authentication Proxy-Dienst.
    4. Klicken Sie auf Beenden.
    vSphere Web Client
    1. Wählen Sie Verwaltung aus und klicken Sie unter Bereitstellung auf Systemkonfiguration.
    2. Klicken Sie auf Dienste, den Dienst VMware vSphere Authentication Proxy und anschließend auf das rote Symbol Dienst beenden.
    Befehlszeilenschnittstelle
    service-control --stop vmcam
    
  5. Ersetzen Sie die bestehenden Zertifikatsdateien rui.crt und rui.key durch die Dateien, die Sie von Ihrer Zertifizierungsstelle erhalten haben.
  6. Starten Sie den vSphere Authentication Proxy-Dienst neu.
  7. Registrieren Sie vSphere Authentication Proxy mithilfe des neuen Zertifikats und des neuen Schlüssels explizit bei vCenter Server neu.
    camregister --register -a VC_address -u user -c vollständiger_Pfad_von_rui.crt -k vollständiger_Pfad_von_rui.key