Reemplazar certificados SSL de máquina por certificados personalizados

Después de recibir los certificados personalizados, puede reemplazar los certificados de cada máquina.

Cada máquina debe tener un certificado SSL de máquina para establecer una comunicación segura con otros servicios. En una implementación de varios nodos, debe ejecutar los comandos de generación de certificados SSL de máquina en cada nodo. Use el parámetro --server para apuntar a Platform Services Controller desde vCenter Server con Platform Services Controller externo.

Para poder empezar a reemplazar los certificados, debe tener la siguiente información:

Contraseña de [email protected].
Un certificado SSL de máquina personalizado y válido (archivo .crt).
Una clave SSL de máquina personalizada y válida (archivo .key).
Un certificado personalizado válido para la raíz (archivo .crt).
Si ejecuta el comando en vCenter Server con Platform Services Controller externo en una implementación de varios nodos, la dirección IP de Platform Services Controller.

Requisitos previos

Seguramente recibió un certificado para cada máquina de la CA de la empresa o externa.

Tamaño de clave: 2.048 bits o más (formato codificado PEM)
Formato CRT
x509 versión 3
SubjectAltName debe contener DNS Name=<machine_FQDN>.
Contiene los siguientes usos de claves: firma digital, cifrado de clave

Procedimiento

Detenga todos los servicios e inicie los servicios que se ocupan de la creación, de la propagación y del almacenamiento de certificados.
Los nombres de servicios en Windows no son los mismos que en vCenter Server Appliance.
Nota: Si el entorno utiliza una instancia externa de Platform Services Controller, no es necesario detener e iniciar VMware Directory Service (vmdird) ni VMware Certificate Authority (vmcad) en el nodo de vCenter Server. Estos servicios se ejecutan en Platform Services Controller.
Windows
```
service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
```
vCenter Server Appliance
```
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
```
Inicie sesión en cada nodo y agregue a VECS los certificados de máquina nuevos obtenidos de la CA.
Todas las máquinas necesitan el certificado nuevo en el almacén de certificados local para comunicarse mediante SSL.
```
vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>
```
Reinicie todos los servicios.
```
service-control --start --all
```

Ejemplo: Reemplazar certificados SSL de máquina por certificados personalizados

En este ejemplo se muestra la manera en la que se debe reemplazar el certificado SSL de máquina por un certificado personalizado en una instalación de Windows. Puede reemplazar el certificado SSL de máquina en cada nodo del mismo modo.

Primero, elimine el certificado existente en VECS.

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT

A continuación, agregue el certificado de reemplazo.

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv