Für das Verwenden von benutzerdefinierten Zertifikaten mit vSphere Authentication Proxy sind mehrere Schritte erforderlich. Als Erstes generieren Sie einen CSR und leiten diesen zum Signieren an Ihre Zertifizierungsstelle weiter. Dann speichern Sie das signierte Zertifikat und die Schlüsseldatei an einem Speicherort, auf den vSphere Authentication Proxy zugreifen kann.
Standardmäßig generiert vSphere Authentication Proxy einen CSR während des anfänglichen Startvorgangs und fordert VMCA auf, diesen CSR zu signieren. vSphere Authentication Proxy verwendet dieses Zertifikat, um sich bei vCenter Server zu registrieren. Sie können benutzerdefinierte Zertifikate in Ihrer Umgebung verwenden, wenn Sie diese Zertifikate zu vCenter Server hinzufügen.
Prozedur
- Generieren Sie einen CSR für vSphere Authentication Proxy.
- Erstellen Sie die Konfigurationsdatei /var/lib/vmware/vmcam/ssl/vmcam.cfg nach dem nachfolgenden Beispiel.
[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:dns.static-1.csl.vmware.com
[ req_distinguished_name ]
countryName = IE
stateOrProvinceName = Cork
localityName = Cork
0.organizationName = VMware
organizationalUnitName = vTSU
commonName = test-cam-1.test1.vmware.com
- Führen Sie unter Angabe der Konfigurationsdatei openssl aus, um eine CSR- und eine Schlüsseldatei zu generieren.
openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
- Sichern Sie die Zertifikatsdateien rui.crt und rui.key, welche sich im folgenden Speicherort befinden.
/var/lib/vmware/vmcam/ssl/rui.crt
- Heben Sie die Registrierung von vSphere Authentication Proxy auf.
- Navigieren Sie zum Verzeichnis /usr/lib/vmware-vmcam/bin, in dem sich das Skript camregister befindet.
- Führen Sie den folgenden Befehl aus.
camregister --unregister -a VC_address -u Benutzer
Benutzer muss ein vCenter Single Sign-On-Benutzer mit Administratorberechtigungen für
vCenter Server sein.
- Halten Sie den vSphere Authentication Proxy-Dienst an.
Tool |
Schritte |
vCenter Server-Konfigurationsverwaltungsschnittstelle |
- Navigieren Sie in einem Webbrowser zur vCenter Server-Konfigurationsverwaltungsschnittstelle (https://vcenter-IP-address-or-FQDN:5480).
- Melden Sie sich als „root“ an.
Das standardmäßige Root-Kennwort ist das Kennwort, das Sie während der Bereitstellung der vCenter Server festlegen.
- Klicken Sie auf Dienste und anschließend auf den VMware vSphere Authentication Proxy-Dienst.
- Klicken Sie auf Beenden.
|
Befehlszeilenschnittstelle |
service-control --stop vmcam
|
- Ersetzen Sie die bestehenden Zertifikatsdateien rui.crt und rui.key durch die Dateien, die Sie von Ihrer Zertifizierungsstelle erhalten haben.
- Starten Sie den vSphere Authentication Proxy-Dienst neu.
- Registrieren Sie vSphere Authentication Proxy mithilfe des neuen Zertifikats und des neuen Schlüssels explizit bei vCenter Server neu.
camregister --register -a VC_address -u user -c vollständiger_Pfad_von_rui.crt -k vollständiger_Pfad_von_rui.key