Después de recibir los certificados personalizados, puede reemplazar los certificados de cada máquina.

Por qué y cuándo se efectúa esta tarea

Cada máquina debe tener un certificado SSL de máquina para establecer una comunicación segura con otros servicios. En una implementación de varios nodos, debe ejecutar los comandos de generación de certificados SSL de máquina en cada nodo. Use el parámetro --server para apuntar a Platform Services Controller desde vCenter Server con Platform Services Controller externo.

Para poder empezar a reemplazar los certificados, debe tener la siguiente información:

  • Contraseña de administrator@vsphere.local.

  • Un certificado SSL de máquina personalizado y válido (archivo .crt).

  • Una clave SSL de máquina personalizada y válida (archivo .key).

  • Un certificado personalizado válido para la raíz (archivo .crt).

  • Si ejecuta el comando en vCenter Server con Platform Services Controller externo en una implementación de varios nodos, la dirección IP de Platform Services Controller.

Requisitos

Seguramente recibió un certificado para cada máquina de la CA de la empresa o externa.

  • Tamaño de clave: 2.048 bits o más (formato codificado PEM)

  • Formato CRT

  • x509 versión 3

  • SubjectAltName debe contener DNS Name=<machine_FQDN>

  • Contiene los siguientes usos de claves: firma digital, no repudio, cifrado de clave

Procedimiento

  1. Detenga todos los servicios e inicie los servicios que se ocupan de la creación, de la propagación y del almacenamiento de certificados.

    Los nombres de servicios en Windows no son los mismos que en vCenter Server Appliance.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  2. Inicie sesión en cada nodo y agregue a VECS los certificados de máquina nuevos obtenidos de la CA.

    Todas las máquinas necesitan el certificado nuevo en el almacén de certificados local para comunicarse mediante SSL.

    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
    --key <key-file-path>
  3. Reinicie todos los servicios.
    service-control --start --all
    

Reemplazar certificados SSL de máquina por certificados personalizados

Puede reemplazar el certificado SSL de máquina en cada nodo del mismo modo.

  1. Primero, elimine el certificado existente en VECS.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
  2. A continuación, agregue el certificado de reemplazo.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv