Después de recibir los certificados personalizados, puede reemplazar los certificados de cada máquina.

Para poder empezar a reemplazar los certificados, debe tener la siguiente información:
  • Contraseña de [email protected]
  • Un certificado SSL de máquina personalizado y válido (archivo .crt)
  • Una clave SSL de máquina personalizada y válida (archivo .key)
  • Un certificado personalizado válido para la raíz (archivo .crt)

Requisitos previos

Seguramente recibió un certificado para cada máquina de la CA de la empresa o externa.

  • Tamaño de clave: de 2.048 bits (mínimo) a 16.384 bits (máximo) (formato codificado PEM)
  • Formato CRT
  • x509 versión 3
  • SubjectAltName debe contener DNS Name=<machine_FQDN>.
  • Contiene los siguientes usos de claves: firma digital, cifrado de clave

Procedimiento

  1. Detenga todos los servicios e inicie los servicios que se ocupan de la creación, de la propagación y del almacenamiento de certificados.
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  2. Inicie sesión en cada nodo y agregue a VECS los certificados de máquina nuevos obtenidos de la CA.
    Todas las máquinas necesitan el certificado nuevo en el almacén de certificados local para comunicarse mediante SSL.
    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
    --key <key-file-path>
  3. Actualice el endpoint de registro del servicio de búsqueda.
    /usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user '[email protected]' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>
  4. Reinicie todos los servicios.
    service-control --start --all