Für das Verwenden von benutzerdefinierten Zertifikaten mit vSphere Authentication Proxy sind mehrere Schritte erforderlich. Als Erstes generieren Sie einen CSR und leiten diesen zum Signieren an Ihre Zertifizierungsstelle weiter. Dann speichern Sie das signierte Zertifikat und die Schlüsseldatei an einem Speicherort, auf den vSphere Authentication Proxy zugreifen kann.

Standardmäßig generiert vSphere Authentication Proxy einen CSR während des anfänglichen Startvorgangs und fordert VMCA auf, diesen CSR zu signieren. vSphere Authentication Proxy verwendet dieses Zertifikat, um sich bei vCenter Server zu registrieren. Sie können benutzerdefinierte Zertifikate in Ihrer Umgebung verwenden, wenn Sie diese Zertifikate zu vCenter Server hinzufügen.

Prozedur

  1. Generieren Sie einen CSR für vSphere Authentication Proxy.
    1. Erstellen Sie die Konfigurationsdatei /var/lib/vmware/vmcam/ssl/vmcam.cfg nach dem nachfolgenden Beispiel. 
      [ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:vcenter1.example.com
[ req_distinguished_name ]
countryName = US
stateOrProvinceName = NY
localityName = New York
0.organizationName = Example Inc.
organizationalUnitName = IT Org
commonName = vcenter1.example.com

      Beachten Sie Folgendes:

      • subjectAltName: Verwenden Sie das Format DNS:FQDN_der_vCenter_Appliance_zum_Verwenden_des_CA-signierten_Zertifikats.
      • commonName: Verwenden Sie denselben FQDN der vCenter Appliance, die in subjectAltName verwendet wird.
    2. Führen Sie unter Angabe der Konfigurationsdatei openssl aus, um eine CSR- und eine Schlüsseldatei zu generieren. 
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. Sichern Sie die Zertifikatsdateien rui.crt und rui.key, welche sich im folgenden Speicherort befinden.
    /var/lib/vmware/vmcam/ssl/rui.crt
  3. Heben Sie die Registrierung von vSphere Authentication Proxy auf.
    1. Navigieren Sie zum Verzeichnis /usr/lib/vmware-vmcam/bin, in dem sich das Skript camregister befindet.
    2. Führen Sie den folgenden Befehl aus. 
      camregister --unregister -a VC_address -u user
      Benutzer muss ein vCenter Single Sign-On-Benutzer mit Administratorberechtigungen für vCenter Server sein.
  4. Halten Sie den vSphere Authentication Proxy-Dienst an.
    Tool Schritte
    vCenter Server-Konfigurationsverwaltungsschnittstelle
    1. Navigieren Sie in einem Webbrowser zur vCenter Server-Konfigurationsverwaltungsschnittstelle (https://vcenter-IP-address-or-FQDN:5480).
    2. Melden Sie sich als „root“ an.

      Das standardmäßige Root-Kennwort ist das Kennwort, das Sie während der Bereitstellung der vCenter Server festlegen.

    3. Klicken Sie auf Dienste und anschließend auf VMware vSphere Authentication Proxy.
    4. Klicken Sie auf Beenden.
    Befehlszeilenschnittstelle 
    service-control --stop vmcam
  5. Ersetzen Sie die bestehenden Zertifikatsdateien rui.crt und rui.key durch die Dateien, die Sie von Ihrer Zertifizierungsstelle erhalten haben.
  6. Starten Sie den vSphere Authentication Proxy-Dienst neu.
  7. Registrieren Sie vSphere Authentication Proxy mithilfe des neuen Zertifikats und des neuen Schlüssels explizit bei vCenter Server neu. 
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key