Después de reemplazar los certificados SSL de máquina, puede reemplazar los certificados de los usuarios de solución.
Muchos clientes de VMware no reemplazan los certificados de usuario de las soluciones. Reemplazan solo los certificados SSL de los equipos con certificados personalizados. Este enfoque híbrido satisface los requisitos de sus equipos de seguridad.
- Los certificados se sientan detrás de un proxy, o bien son certificados personalizados.
- No se utilizan CA intermedias.
Se reemplaza el certificado de usuario de solución de la máquina y el certificado de usuario de solución en cada sistema vCenter Server.
Nota: Cuando se enumeran certificados de usuario de solución en implementaciones de gran tamaño, el resultado de
dir-cli list incluye todos los usuarios de solución de todos los nodos. Ejecute
vmafd-cli get-machine-id --server-name localhost para encontrar el identificador de máquina local para cada host. El nombre del usuario de solución incluye el identificador de máquina.
Requisitos previos
Cada certificado de usuario de solución debe tener un Subject diferente. Por ejemplo, considere incluir el nombre de usuario de solución (como vpxd) u otro identificador único.
Procedimiento
Ejemplo: Reemplazo de certificados de usuarios de solución (entidad de certificación intermedia)
- Genere un par de claves pública/privada para cada usuario de solución en cada nodo de vCenter Server en una configuración de Enhanced Linked Mode. Esto incluye un par para la solución de máquina y un par para cada usuario de solución adicional (vpxd, vpxd-extension, vsphere-webclient, wcp).
- Genere un par de claves para el usuario de solución de la máquina.
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=machine-key.priv --pubkey=machine-key.pub
- Genere un par de claves para el usuario de solución vpxd en cada nodo.
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=vpxd-key.priv --pubkey=vpxd-key.pub
- Genere un par de claves para el usuario de solución vpxd-extension en cada nodo.
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=vpxd-extension-key.priv --pubkey=vpxd-extension-key.pub
- Genere un par de claves para el usuario de solución vsphere-webclient en cada nodo.
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=vsphere-webclient-key.priv --pubkey=vsphere-webclient-key.pub
- Genere un par de claves para el usuario de solución wcp en cada nodo.
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=wcp-key.priv --pubkey=wcp-key.pub
- Genere un par de claves para el usuario de solución de la máquina.
- Genere certificados de usuario de solución que estén firmados con el nuevo certificado raíz de VMCA para el usuario de solución de la máquina y para cada usuario de solución adicional (vpxd, vpxd-extension, vsphere-webclient, wcp) en cada nodo de vCenter Server.
Nota: El parámetro --Name tiene que ser único. Al incluir el nombre del almacén del usuario de solución, resulta más fácil ver qué certificado se asigna a cada usuario de solución. El ejemplo incluye el nombre, por ejemplo, vpxd o vpxd-extension en cada caso.
- Ejecute el siguiente comando a fin de generar un certificado de usuario de solución para el usuario de solución de la máquina en ese nodo.
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine
- Genere un certificado para el usuario de solución de la máquina en cada nodo.
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-machine.crt --privkey=machine-key.priv --Name=machine
- Genere un certificado para el usuario de solución vpxd en cada nodo.
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vpxd.crt --privkey=vpxd-key.priv --Name=vpxd
- Genere un certificado para el usuario de solución vpxd-extensions en cada nodo.
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vpxd-extension.crt --privkey=vpxd-extension-key.priv --Name=vpxd-extension
- Ejecute el siguiente comando para generar un certificado para el usuario de solución vsphere-webclient en cada nodo.
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vsphere-webclient.crt --privkey=vsphere-webclient-key.priv --Name=vsphere-webclient
- Ejecute el siguiente comando para generar un certificado para el usuario de solución wcp en cada nodo.
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-wcp.crt --privkey=wcp-key.priv --Name=wcp
- Ejecute el siguiente comando a fin de generar un certificado de usuario de solución para el usuario de solución de la máquina en ese nodo.
- Reemplace los certificados de usuario de solución en VECS por los nuevos certificados de usuario de solución.
Nota: Los parámetros --store y --alias tienen que coincidir exactamente con los nombres predeterminados de los servicios.
- Reemplace el certificado de usuario de solución de la máquina en cada nodo:
/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store machine --alias machine /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store machine --alias machine --cert new-machine.crt --key machine-key.priv
- Reemplace el certificado de usuario de solución vpxd en cada nodo.
/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vpxd --alias vpxd /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vpxd --alias vpxd --cert new-vpxd.crt --key vpxd-key.priv
- Reemplace el certificado de usuario de solución vpxd-extension en cada nodo.
/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vpxd-extension --alias vpxd-extension /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vpxd-extension --alias vpxd-extension --cert new-vpxd-extension.crt --key vpxd-extension-key.priv
- Reemplace el certificado de usuario de solución vsphere-webclient en cada nodo.
/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store vsphere-webclient --alias vsphere-webclient /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store vsphere-webclient --alias vsphere-webclient --cert new-vsphere-webclient.crt --key vsphere-webclient-key.priv
- Reemplace el certificado de usuario de solución wcp en cada nodo.
/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store wcp --alias wcp /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store wcp --alias wcp --cert new-wcp.crt --key wcp-key.priv
- Reemplace el certificado de usuario de solución de la máquina en cada nodo:
- Actualice VMware Directory Service (vmdir) con los nuevos certificados de usuarios de solución. Se solicita una contraseña de administrador de vCenter Single Sign-On.
- Ejecute dir-cli service list para obtener el sufijo de identificador único de servicio para cada usuario de solución. Este comando se ejecuta en un sistema vCenter Server.
/usr/lib/vmware-vmafd/bin/dir-cli service list output: 1. machine-623bef28-0311-436e-b21f-6e0d39aa5179 2. vsphere-webclient-623bef28-0311-436e-b21f-6e0d39aa5179 3. vpxd-623bef28-0311-436e-b21f-6e0d39aa5179 4. vpxd-extension-623bef28-0311-436e-b21f-6e0d39aa5179 5. hvc-623bef28-0311-436e-b21f-6e0d39aa5179 6. wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e
Nota: Cuando se enumeran certificados de usuario de solución en implementaciones de gran tamaño, el resultado de dir-cli list incluye todos los usuarios de solución de todos los nodos. Ejecute vmafd-cli get-machine-id --server-name localhost para encontrar el identificador de máquina local para cada host. El nombre del usuario de solución incluye el identificador de máquina. - Reemplace el certificado de máquina en vmdir en cada nodo de vCenter Server. Por ejemplo, si machine-6fd7f140-60a9-11e4-9e28-005056895a69 es el usuario de solución de la máquina en vCenter Server, ejecute el siguiente comando:
/usr/lib/vmware-vmafd/bin/dir-cli service update --name machine-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-machine.crt
- Reemplace el certificado de usuario de solución vpxd en vmdir en cada nodo. Por ejemplo, si vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 es el identificador de usuario de solución vpxd, ejecute el siguiente comando:
/usr/lib/vmware-vmafd/bin/dir-cli service update --name vpxd-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd.crt
- Reemplace el certificado de usuario de solución vpxd-extension en vmdir en cada nodo. Por ejemplo, si vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 es el identificador de usuario de solución vpxd-extension, ejecute el siguiente comando:
/usr/lib/vmware-vmafd/bin/dir-cli update --name vpxd-extension-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vpxd-extension.crt
- Reemplace el certificado de usuario de solución vsphere-webclient en cada nodo. Por ejemplo, si vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 es el identificador de usuario de solución vsphere-webclient, ejecute el siguiente comando:
/usr/lib/vmware-vmafd/bin/dir-cli service update --name vsphere-webclient-6fd7f140-60a9-11e4-9e28-005056895a69 --cert new-vsphere-webclient.crt
- Reemplace el certificado de usuario de solución wcp en cada nodo. Por ejemplo, si wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e es el ID del usuario de solución wcp, ejecute este comando:
/usr/lib/vmware-vmafd/bin/dir-cli service update --name wcp-1cbe0a40-e4ce-4378-b5e7-9460e2b8200e --cert new-wcp.crt
- Ejecute dir-cli service list para obtener el sufijo de identificador único de servicio para cada usuario de solución. Este comando se ejecuta en un sistema vCenter Server.