El uso de certificados personalizados con vSphere Authentication Proxy consta de varios pasos. Primero, genere una CSR y envíela a la entidad de certificación para que la firme. A continuación, coloque el certificado firmado y el archivo de clave en una ubicación a la que vSphere Authentication Proxy pueda acceder.

De manera predeterminada, vSphere Authentication Proxy genera una CSR durante el primer arranque y pide a VMCA que firme esa CSR. vSphere Authentication Proxy se registra con vCenter Server y usa ese certificado. Puede usar certificados personalizados en el entorno si los agrega a vCenter Server.

Procedimiento

  1. Genere una CSR para vSphere Authentication Proxy.
    1. Cree un archivo de configuración, /var/lib/vmware/vmcam/ssl/vmcam.cfg, como se muestra en el siguiente ejemplo.
      [ req ]
      distinguished_name = req_distinguished_name
      encrypt_key = no
      prompt = no
      string_mask = nombstr
      req_extensions = v3_req
      [ v3_req ]
      basicConstraints = CA:false
      keyUsage = nonRepudiation, digitalSignature, keyEncipherment
      subjectAltName = DNS:dns.static-1.csl.vmware.com
      [ req_distinguished_name ]
      countryName = IE
      stateOrProvinceName = Cork
      localityName = Cork
      0.organizationName = VMware
      organizationalUnitName = vTSU
      commonName = test-cam-1.test1.vmware.com
    2. Ejecute openssl para generar un archivo CSR y un archivo de claves, pasando el archivo de configuración.
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. Realice una copia de seguridad del certificado rui.crt y de los archivos rui.key, que están almacenados en la siguiente ubicación.
    Sistema operativo Ubicación
    vCenter Server Appliance /var/lib/vmware/vmcam/ssl/rui.crt
    vCenter Server en Windows C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt
  3. Elimine vSphere Authentication Proxy del registro.
    1. Desplácese hasta el directorio en donde se ubica el script de camregister.
      Sistema operativo Comandos
      vCenter Server Appliance /usr/lib/vmware-vmcam/bin
      vCenter Server en Windows C:\Archivos de programa\VMware\vCenter Server\vmcamd
    2. Ejecute el siguiente comando.
      camregister --unregister -a VC_address -u user
      El valor user debe ser un usuario de vCenter Single Sign-On que tenga permisos de administrador en vCenter Server.
  4. Detenga el servicio de vSphere Authentication Proxy.
    Herramienta Pasos
    Interfaz de administración de vCenter Server Appliance (VAMI)
    1. En un explorador web, vaya a la interfaz de administración de vCenter Server Appliance, https://dirección-IP-o-FQDN-de-dispositivo:5480.
    2. Inicie sesión como usuario root.

      La contraseña raíz predeterminada es la que estableció al implementar vCenter Server Appliance.

    3. Haga clic en Servicios y en el servicio VMware vSphere Authentication Proxy.
    4. Haga clic en Detener.
    vSphere Web Client
    1. Seleccione Administración y haga clic en Configuración del sistema en Implementación.
    2. Haga clic en Servicios, en el servicio de VMware vSphere Authentication Proxy y en el icono rojo Detener el servicio.
    CLI
    service-control --stop vmcam
    
  5. Reemplace el certificado rui.crt existente y los archivos rui.key por los archivos que le envió la entidad de certificación.
  6. Reinicie el servicio de vSphere Authentication Proxy.
  7. Vuelva a registrar vSphere Authentication Proxy explícitamente en vCenter Server usando el nuevo certificado y la clave.
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key