Genere nuevos certificados firmados por VMCA con la CLI certool o la utilidad de vSphere Certificate Manager, y publique los certificados en vmdir.

Por qué y cuándo se efectúa esta tarea

En una implementación de varios nodos, los comandos para generar certificados raíz se ejecutan en Platform Services Controller.

Procedimiento

  1. Genere un nuevo certificado autofirmado y una clave privada.
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. Reemplace el certificado raíz existente con el nuevo certificado.
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>

    El comando genera el certificado, lo agrega a vmdir y, a continuación, lo agrega a VECS.

  3. Detenga todos los servicios e inicie los servicios que se ocupan de la creación, de la propagación y del almacenamiento de certificados.

    Los nombres de servicios en Windows no son los mismos que en vCenter Server Appliance.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. (Opcional) : Publique el nuevo certificado raíz en vmdir.
    dir-cli trustedcert publish --cert newRoot.crt
    

    El comando actualiza todas las instancias de vmdir de manera inmediata. Si no lo ejecuta, la propagación del nuevo certificado a todos los nodos puede tardar un poco.

  5. Reinicie todos los servicios.
    service-control --start --all
    

Generar un nuevo certificado raíz firmado por VMCA

El siguiente ejemplo muestra todos los pasos para comprobar la información de la entidad de certificación raíz actual y volver a generar el certificado raíz.

  1. (Opcional) Enumere el certificado raíz de VMCA para asegurarse de que se encuentre en el almacén de certificados.

    • En una instalación integrada o un nodo de Platform Services Controller:

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
    • En un nodo de administración (instalación externa):

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>

    La salida se parece a esto:

    output:
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af
        ...
    

  2. (Opcional) Enumere el almacén TRUSTED_ROOTS de VECS y compare el número de serie del certificado con la salida del paso 1.

    Este comando funciona tanto en nodos de Platform Services Controller como de administración, ya que VECS sondea vmdir.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
    

    En el caso más simple con un solo certificado raíz, la salida se parece a esto:

    Number of entries in store :    1
    Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
    Entry type :    Trusted Cert
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af

  3. Genere un nuevo certificado raíz de VMCA. El comando agrega el certificado al almacén TRUSTED_ROOTS en VECS y en vmdir (VMware Directory Service).

    C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"

    En Windows, --config es opcional porque el comando usa el archivo predeterminado certool.cfg.