Después de generar un nuevo certificado raíz firmado por VMCA, puede reemplazar todos los certificados SSL de máquina en el entorno.
Cada máquina debe tener un certificado SSL de máquina para establecer una comunicación segura con otros servicios. Cuando varias instancias de vCenter Server están conectadas en la configuración de Enhanced Linked Mode, debe ejecutar los comandos de generación de certificados SSL de máquina en cada nodo.
Requisitos previos
Prepárese para detener todos los servicios y para iniciar los servicios que controlan la propagación y el almacenamiento de certificados.
Procedimiento
Ejemplo: Reemplazo de certificados de una máquina por certificados firmados por VMCA
- Cree un archivo de configuración para el certificado SSL y guárdelo como ssl-config.cfg en el directorio actual.
Country = US Name = vmca-<FQDN-example> Organization = <my_company> OrgUnit = <my_company Engineering> State = <my_state> Locality = <mytown> Hostname = <FQDN>
- Genere un par de claves para el certificado SSL de máquina. En una implementación de varias instancias de vCenter Server conectadas en la configuración de Enhanced Linked Mode, ejecute este comando en cada nodo de vCenter Server.
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=ssl-key.priv --pubkey=ssl-key.pub
Los archivos ssl-key.priv y ssl-key.pub se crean en el directorio actual.
- Genere el nuevo certificado SSL de máquina. Este certificado está firmado por VMCA. Si reemplazó el certificado raíz de VMCA por un certificado personalizado, VMCA firma todos los certificados con la cadena completa.
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vmca-ssl.crt --privkey=ssl-key.priv --config=ssl-config.cfg
El archivo new-vmca-ssl.crt se crea en el directorio actual.
- (Opcional) Enumere el contenido de VECS.
/usr/lib/vmware-vmafd/bin/vecs-cli store list
- Ejemplo de salida en vCenter Server:
output (on vCenter): MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine vsphere-webclient vpxd vpxd-extension hvc data-encipherment APPLMGMT_PASSWORD SMS wcp KMS_ENCRYPTION
- Ejemplo de salida en vCenter Server:
- Reemplace el certificado SSL de máquina en VECS por el nuevo certificado SSL de máquina. Los valores --store y --alias tienen que coincidir exactamente con los nombres predeterminados.
- En cada instancia de vCenter Server, ejecute los siguientes comandos para actualizar el certificado SSL de máquina en el almacén MACHINE_SSL_CERT. Debe actualizar el certificado para cada máquina por separado, ya que cada una de ellas tiene un FQDN diferente.
/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert new-vmca-ssl.crt --key ssl-key.priv
- En cada instancia de vCenter Server, ejecute los siguientes comandos para actualizar el certificado SSL de máquina en el almacén MACHINE_SSL_CERT. Debe actualizar el certificado para cada máquina por separado, ya que cada una de ellas tiene un FQDN diferente.
Qué hacer a continuación
También puede reemplazar los certificados de sus hosts ESXi. Consulte la publicación Seguridad de vSphere.