Nachdem Sie die Maschinen-SSL-Zertifikate ersetzt haben, können Sie alle Lösungsbenutzerzertifikate ersetzen. Lösungsbenutzerzertifikate müssen gültig sein (also nicht abgelaufen), aber die anderen Informationen des Zertifikats werden nicht von der Zertifikatinfrastruktur verwendet.

Viele VMware-Kunden tauschen Lösungsbenutzerzertifikate nicht aus. Sie tauschen lediglich die Maschinen-SSL-Zertifikate gegen benutzerdefinierte Zertifikate aus. Mit dieser hybriden Herangehensweise werden die Anforderungen ihrer Sicherheitsteams erfüllt.
  • Zertifikate befinden sich entweder hinter einem Proxy-Server oder stellen benutzerdefinierte Zertifikate dar.
  • Es werden keine Zwischenzertifizierungsstellen verwendet.

Sie ersetzen das Lösungsbenutzerzertifikat der Maschine und das Lösungsbenutzerzertifikat auf jedem vCenter Server-System.

Hinweis: Wenn Sie Lösungsbenutzerzertifikate bei großen Bereitstellungen auflisten, enthält die Ausgabe von dir-cli list alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.

Voraussetzungen

Sie sollten darauf vorbereitet sein, alle Dienste zu beenden und die Dienste für die Weitergabe und Speicherung von Zertifikaten zu starten.

Prozedur

  1. Erstellen Sie eine Kopie von certool.cfg, entfernen Sie die Felder für den Namen, die IP-Adresse, den DNS-Namen und die E-Mail-Adresse und benennen Sie die Datei z. B. in sol_usr.cfg um.
    Sie können die Zertifikate im Rahmen des Generierungsvorgangs über die Befehlszeile benennen. Die restlichen Informationen sind für Lösungsbenutzer nicht erforderlich. Wenn Sie die Standardinformationen unverändert lassen, könnten die generierten Zertifikate für Verwirrung sorgen.
  2. Generieren Sie für jeden Lösungsbenutzer ein öffentliches/privates Schlüsseldateipaar sowie ein Zertifikat und übergeben Sie die Konfigurationsdatei, die Sie soeben angepasst haben.
    Beispiel: 
    certool --genkey --privkey=vpxd.priv --pubkey=vpxd.pub 
certool --gencert --privkey=vpxd.priv --cert vpxd.crt --Name=VPXD_1 --config sol_usr.cfg
  3. Suchen Sie den Namen für jeden Lösungsbenutzer. 
    dir-cli service list
    Sie können die eindeutige ID verwenden, die beim Ersetzen der Zertifikate zurückgegeben wird. Die Ein- und Ausgabe könnte so oder ähnlich wie im Folgenden aussehen. 
    dir-cli service list
Enter password for [email protected]:
1. machine-623bef28-0311-436e-b21f-6e0d39aa5179
2. vsphere-webclient-623bef28-0311-436e-b21f-6e0d39aa5179
3. vpxd-623bef28-0311-436e-b21f-6e0d39aa5179
4. vpxd-extension-623bef28-0311-436e-b21f-6e0d39aa5179
5. hvc-623bef28-0311-436e-b21f-6e0d39aa5179
6. wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e
    Bei einer Bereitstellung mehrerer vCenter Server-Instanzen, die in der Konfiguration des erweiterten verknüpften Modus verbunden sind, enthält die Ausgabe von dir-cli service list alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.
  4. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung. 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  5. Ersetzen Sie für jeden Lösungsbenutzer das vorhandene Zertifikat in vmdir und anschließend in VECS.
    Das folgende Beispiel veranschaulicht, wie die Zertifikate für den vpxd-Dienst ersetzt werden. 
    dir-cli service update --name <vpxd-xxxx-xxx-7c7b769cd9f4> --cert ./vpxd.crt
vecs-cli entry delete --store vpxd --alias vpxd
vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    Hinweis: Lösungsbenutzer können sich nur bei vCenter Single Sign On authentifizieren, wenn Sie das Zertifikat in vmdir ersetzen.
  6. Starten Sie alle Dienste neu. 
    service-control --start --all

Beispiel: Verwenden von VMCA-signierten Lösungsbenutzerzertifikaten

  1. Generieren Sie ein öffentliches/privates Schlüsselpaar für alle Lösungsbenutzer auf sämtlichen vCenter Server-Knoten in einer Konfiguration des erweiterten verknüpften Modus. Hierzu gehören ein Paar für die Maschinenlösung und ein Paar für jeden zusätzlichen Lösungsbenutzer (vpxd, vpxd-extension, vsphere-webclient, wcp).
    1. Generieren Sie ein Schlüsselpaar für den Lösungsbenutzer „machine“. 
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
    2. Generieren Sie ein Schlüsselpaar für den Lösungsbenutzer „vpxd“ auf jedem Knoten. 
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=vpxd-key.priv --pubkey=vpxd-key.pub
    3. Generieren Sie ein Schlüsselpaar für den Lösungsbenutzer „vpxd-extension“ auf jedem Knoten. 
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=vpxd-extension-key.priv --pubkey=vpxd-extension-key.pub
    4. Generieren Sie ein Schlüsselpaar für den Lösungsbenutzer „vsphere-webclient“ auf jedem Knoten. 
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=vsphere-webclient-key.priv --pubkey=vsphere-webclient-key.pub
    5. Generieren Sie ein Schlüsselpaar für den Lösungsbenutzer „wcp“ auf jedem Knoten. 
      /usr/lib/vmware-vmca/bin/certool --genkey --privkey=wcp-key.priv --pubkey=wcp-key.pub
  2. Generieren Sie vom neuen VMCA-Stammzertifikat signierte Lösungsbenutzerzertifikate für den Lösungsbenutzer „machine“ und für jeden zusätzlichen Lösungsbenutzer (vpxd, vpxd-extension, vsphere-webclient, wcp) auf allen vCenter Server-Knoten.
    Hinweis: Der Parameter --Name muss eindeutig sein. Durch die Angabe des Namens des Lösungsbenutzerspeichers ist auf einfache Weise erkennbar, welches Zertifikat welchem Lösungsbenutzer zugeordnet ist. Dieses Beispiel umfasst in jedem Fall den Namen, z. B. vpxd oder vpxd-extension.
    1. Führen Sie den folgenden Befehl aus, um für den Lösungsbenutzer „machine“ auf diesem Knoten ein Lösungsbenutzerzertifikat zu generieren. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine
    2. Generieren Sie ein Zertifikat für den Lösungsbenutzer „machine“ auf jedem Knoten. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine
    3. Generieren Sie ein Zertifikat für den Lösungsbenutzer „vpxd“ auf jedem Knoten. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vpxd.crt --privkey=vpxd-key.priv --Name=vpxd
    4. Generieren Sie ein Zertifikat für den Lösungsbenutzer „vpxd-extension“ auf jedem Knoten. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vpxd-extension.crt --privkey=vpxd-extension-key.priv --Name=vpxd-extension
    5. Generieren Sie ein Zertifikat für den Lösungsbenutzer „vsphere-webclient“ auf jedem Verwaltungsknoten, indem Sie folgenden Befehl ausführen. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vsphere-webclient.crt --privkey=vsphere-webclient-key.priv --Name=vsphere-webclient
    6. Generieren Sie ein Zertifikat für den Lösungsbenutzer „wcp“ auf jedem Knoten, indem Sie folgende Befehle ausführen.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=new-wcp.crt --privkey=wcp-key.priv --Name=wcp
  3. Ersetzen Sie die Lösungsbenutzerzertifikate in VECS durch die neuen Lösungsbenutzerzertifikate.
    Hinweis: Die Parameter --store und --alias müssen genau mit den Standardnamen für die Dienste übereinstimmen.
    1. Ersetzen Sie das Lösungsbenutzerzertifikat „machine“ auf jedem Verwaltungsknoten: 
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store machine --alias machine
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store machine --alias machine --cert new-machine.crt --key machine-key.priv
    2. Ersetzen Sie das Lösungsbenutzerzertifikat „vpxd“ auf jedem Knoten. 
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vpxd --alias vpxd
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vpxd --alias vpxd --cert new-vpxd.crt --key vpxd-key.priv
    3. Ersetzen Sie das Lösungsbenutzerzertifikat „vpxd-extension“ auf jedem Knoten. 
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vpxd-extension --alias vpxd-extension
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vpxd-extension --alias vpxd-extension --cert new-vpxd-extension.crt --key vpxd-extension-key.priv
    4. Ersetzen Sie das Lösungsbenutzerzertifikat „vsphere-webclient“ auf jedem Knoten. 
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vsphere-webclient --alias vsphere-webclient
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vsphere-webclient --alias vsphere-webclient --cert new-vsphere-webclient.crt --key vsphere-webclient-key.priv
    5. Ersetzen Sie das Lösungsbenutzerzertifikat „wcp“ auf jedem Knoten.
      /usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store wcp --alias wcp
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store wcp --alias wcp --cert new-wcp.crt --key wcp-key.priv
  4. Aktualisieren Sie den VMware Directory Service (vmdir) mit den neuen Lösungsbenutzerzertifikaten. Sie werden Zur Eingabe eines vCenter Single Sign On-Administratorkennworts aufgefordert.
    1. Führen Sie dir-cli service list aus, um für jeden Lösungsbenutzer das eindeutige Dienst-ID-Suffix abzurufen. Sie führen diesen Befehl auf einem vCenter Server-System aus. 
      /usr/lib/vmware-vmafd/bin/dir-cli service list
output:
1. machine-623bef28-0311-436e-b21f-6e0d39aa5179
2. vsphere-webclient-623bef28-0311-436e-b21f-6e0d39aa5179
3. vpxd-623bef28-0311-436e-b21f-6e0d39aa5179
4. vpxd-extension-623bef28-0311-436e-b21f-6e0d39aa5179
5. hvc-623bef28-0311-436e-b21f-6e0d39aa5179
6. wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e
      Hinweis: Wenn Sie Lösungsbenutzerzertifikate bei großen Bereitstellungen auflisten, enthält die Ausgabe von dir-cli list alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.
    2. Ersetzen Sie das Zertifikat „machine“ im VM-Verzeichnis auf jedem vCenter Server-Knoten. Wenn beispielsweise „machine-6fd7f140-60a9-11e4-9e28-005056895a69“ der Lösungsbenutzer „machine“ auf dem vCenter Server ist, führen Sie diesen Befehl aus: 
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name machine-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-machine.crt
    3. Ersetzen Sie das Lösungsbenutzerzertifikat „vpxd“ im VM-Verzeichnis auf jedem Knoten. Wenn beispielsweise „vpxd-6fd7f140-60a9-11e4-9e28-005056895a69“ die vpxd-Lösungsbenutzer-ID ist, führen Sie diesen Befehl aus: 
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd.crt
    4. Ersetzen Sie das Lösungsbenutzerzertifikat „vpxd-extension“ im VM-Verzeichnis auf jedem Knoten. Wenn beispielsweise „vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69“ die vpxd-extension-Lösungsbenutzer-ID ist, führen Sie diesen Befehl aus: 
      /usr/lib/vmware-vmafd/bin/dir-cli update --name vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd-extension.crt
    5. Ersetzen Sie das Lösungsbenutzerzertifikat „vsphere-webclient“ auf jedem Knoten. Wenn beispielsweise „vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69“ die vsphere-webclient-Lösungsbenutzer-ID ist, führen Sie diesen Befehl aus: 
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vsphere-webclient.crt
    6. Ersetzen Sie das Lösungsbenutzerzertifikat „wcp“ auf jedem Knoten. Wenn beispielsweise wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e die ID des Lösungsbenutzers „wcp“ ist, führen Sie folgenden Befehl aus: 
      /usr/lib/vmware-vmafd/bin/dir-cli service update --name wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e --cert new-wcp.crt

Nächste Maßnahme

Starten Sie alle Dienste auf sämtlichen vCenter Server-Knoten neu.