Nachdem Sie die benutzerdefinierten Zertifikate erhalten haben, können Sie jedes Maschinenzertifikat ersetzen.
Sie benötigen die folgenden Informationen, bevor Sie mit dem Ersetzen der Zertifikate beginnen können:
- Kennwort für „[email protected]“
- Gültiges benutzerdefiniertes Maschinen-SSL-Zertifikat (.crt-Datei)
- Gültiger benutzerdefinierter Maschinen-SSL-Schlüssel (.key-Datei)
- Gültiges benutzerdefiniertes Zertifikat für Root (.crt-Datei)
Voraussetzungen
Sie müssen für jede Maschine ein Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erhalten haben.
- Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert)
- CRT-Format
- x509 Version 3
- „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
- Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung
Prozedur
- Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- Melden Sie sich bei jedem Knoten an und fügen Sie die neuen Maschinenzertifikate, die Sie von der Zertifizierungsstelle erhalten haben, zu VECS hinzu.
Alle Maschinen benötigen das neue Zertifikat im lokalen Zertifikatspeicher für die Kommunikation über SSL.
vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>
- Aktualisieren Sie den Endpoint für die Lookup Service-Registrierung.
/usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user '[email protected]' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>
- Starten Sie alle Dienste neu.
service-control --start --all
