El uso de certificados personalizados con vSphere Authentication Proxy consta de varios pasos. Primero, genere una CSR y envíela a la entidad de certificación para que la firme. A continuación, coloque el certificado firmado y el archivo de clave en una ubicación a la que vSphere Authentication Proxy pueda acceder.

Por qué y cuándo se efectúa esta tarea

De manera predeterminada, vSphere Authentication Proxy genera una CSR durante el primer arranque y pide a VMCA que firme esa CSR. vSphere Authentication Proxy se registra con vCenter Server y usa ese certificado. Puede usar certificados personalizados en el entorno si los agrega a vCenter Server.

Procedimiento

  1. Genere una CSR para vSphere Authentication Proxy.
    1. Cree un archivo de configuración, /var/lib/vmware/vmcam/ssl/vmcam.cfg, como se muestra en el siguiente ejemplo.
      [ req ]
      distinguished_name = req_distinguished_name
      encrypt_key = no
      prompt = no
      string_mask = nombstr
      req_extensions = v3_req
      [ v3_req ]
      basicConstraints = CA:false
      keyUsage = nonRepudiation, digitalSignature, keyEncipherment
      subjectAltName = DNS:olearyf-static-1.csl.vmware.com
      [ req_distinguished_name ]
      countryName = IE
      stateOrProvinceName = Cork
      localityName = Cork
      0.organizationName = VMware
      organizationalUnitName = vTSU
      commonName = test-cam-1.test1.vmware.com
    2. Ejecute openssl para generar un archivo CSR y un archivo de claves, pasando el archivo de configuración.
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. Realice una copia de seguridad del certificado rui.crt y de los archivos rui.key, que están almacenados en la siguiente ubicación.

    Sistema operativo

    Ubicación

    vCenter Server Appliance

    /var/lib/vmware/vmcam/ssl/rui.crt

    vCenter Server en Windows

    C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt

  3. Elimine vSphere Authentication Proxy del registro.
    1. Desplácese hasta el directorio en donde se ubica el script de camregister.

      Sistema operativo

      Comandos

      vCenter Server Appliance

      /usr/lib/vmware-vmcam/bin

      vCenter Server en Windows

      C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt

    2. Ejecute el siguiente comando.
      camregister --unregister -a VC_address -u user
      

      El valor user debe ser un usuario de vCenter Single Sign-On que tenga permisos de administrador en vCenter Server.

  4. Detenga el servicio de vSphere Authentication Proxy.

    Herramienta

    Pasos

    vSphere Web Client

    1. Haga clic en Administración y en Configuración del sistema en Implementación.

    2. Haga clic en Servicios y en el servicio VMware vSphere Authentication Proxy; a continuación, detenga el servicio.

    CLI

    service-control --stop vmcam
    
  5. Reemplace el certificado rui.crt existente y los archivos rui.key por los archivos que le envió la entidad de certificación.
  6. Reinicie el servicio de vSphere Authentication Proxy.
  7. Vuelva a registrar vSphere Authentication Proxy explícitamente en vCenter Server usando el nuevo certificado y la clave.
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key