Después de recibir los certificados personalizados, puede reemplazar los certificados de cada máquina.
Para poder empezar a reemplazar los certificados, debe tener la siguiente información:
- Contraseña de [email protected]
- Un certificado SSL de máquina personalizado y válido (archivo .crt)
- Una clave SSL de máquina personalizada y válida (archivo .key)
- Un certificado personalizado válido para la raíz (archivo .crt)
Requisitos previos
Seguramente recibió un certificado para cada máquina de la CA de la empresa o externa.
- Tamaño de clave: de 2.048 bits (mínimo) a 16.384 bits (máximo) (formato codificado PEM)
- Formato CRT
- x509 versión 3
- SubjectAltName debe contener DNS Name=<machine_FQDN>.
- Contiene los siguientes usos de claves: firma digital, cifrado de clave
Procedimiento
- Detenga todos los servicios e inicie los servicios que se ocupan de la creación, de la propagación y del almacenamiento de certificados.
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- Inicie sesión en cada nodo y agregue a VECS los certificados de máquina nuevos obtenidos de la CA.
Todas las máquinas necesitan el certificado nuevo en el almacén de certificados local para comunicarse mediante SSL.
vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>
- Actualice el endpoint de registro del servicio de búsqueda.
/usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user '[email protected]' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>
- Reinicie todos los servicios.
service-control --start --all
