El uso de certificados personalizados con vSphere Authentication Proxy consta de varios pasos. Primero, genere una CSR y envíela a la entidad de certificación para que la firme. A continuación, coloque el certificado firmado y el archivo de clave en una ubicación a la que vSphere Authentication Proxy pueda acceder.
De manera predeterminada, vSphere Authentication Proxy genera una CSR durante el primer arranque y pide a VMCA que firme esa CSR. vSphere Authentication Proxy se registra con vCenter Server y usa ese certificado. Puede usar certificados personalizados en el entorno si los agrega a vCenter Server.
Procedimiento
- Genere una CSR para vSphere Authentication Proxy.
- Cree un archivo de configuración, /var/lib/vmware/vmcam/ssl/vmcam.cfg, como se muestra en el siguiente ejemplo.
[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:dns.static-1.csl.vmware.com
[ req_distinguished_name ]
countryName = IE
stateOrProvinceName = Cork
localityName = Cork
0.organizationName = VMware
organizationalUnitName = vTSU
commonName = test-cam-1.test1.vmware.com
- Ejecute openssl para generar un archivo CSR y un archivo de claves, pasando el archivo de configuración.
openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
- Realice una copia de seguridad del certificado rui.crt y de los archivos rui.key, que están almacenados en la siguiente ubicación.
Sistema operativo |
Ubicación |
vCenter Server Appliance |
/var/lib/vmware/vmcam/ssl/rui.crt |
vCenter Server en Windows |
C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt |
- Elimine vSphere Authentication Proxy del registro.
- Desplácese hasta el directorio en donde se ubica el script de camregister.
Sistema operativo |
Comandos |
vCenter Server Appliance |
/usr/lib/vmware-vmcam/bin |
vCenter Server en Windows |
C:\Archivos de programa\VMware\vCenter Server\vmcamd |
- Ejecute el siguiente comando.
camregister --unregister -a VC_address -u user
El valor
user debe ser un usuario de vCenter Single Sign-On que tenga permisos de administrador en
vCenter Server.
- Detenga el servicio de vSphere Authentication Proxy.
Herramienta |
Pasos |
Interfaz de administración de vCenter Server Appliance (VAMI) |
- En un explorador web, vaya a la interfaz de administración de vCenter Server Appliance, https://dirección-IP-o-FQDN-de-dispositivo:5480.
- Inicie sesión como usuario root.
La contraseña raíz predeterminada es la que estableció al implementar vCenter Server Appliance.
- Haga clic en Servicios y en el servicio VMware vSphere Authentication Proxy.
- Haga clic en Detener.
|
vSphere Web Client |
- Seleccione Administración y haga clic en Configuración del sistema en Implementación.
- Haga clic en Servicios, en el servicio de VMware vSphere Authentication Proxy y en el icono rojo Detener el servicio.
|
CLI |
service-control --stop vmcam
|
- Reemplace el certificado rui.crt existente y los archivos rui.key por los archivos que le envió la entidad de certificación.
- Reinicie el servicio de vSphere Authentication Proxy.
- Vuelva a registrar vSphere Authentication Proxy explícitamente en vCenter Server usando el nuevo certificado y la clave.
camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key