El uso de certificados personalizados con vSphere Authentication Proxy consta de varios pasos. Primero, genere una CSR y envíela a la entidad de certificación para que la firme. A continuación, coloque el certificado firmado y el archivo de clave en una ubicación a la que vSphere Authentication Proxy pueda acceder.

De manera predeterminada, vSphere Authentication Proxy genera una CSR durante el primer arranque y pide a VMCA que firme esa CSR. vSphere Authentication Proxy se registra con vCenter Server y usa ese certificado. Puede usar certificados personalizados en el entorno si los agrega a vCenter Server.

Procedimiento

  1. Genere una CSR para vSphere Authentication Proxy.
    1. Cree un archivo de configuración, /var/lib/vmware/vmcam/ssl/vmcam.cfg, como se muestra en el siguiente ejemplo. 
      [ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:vcenter1.example.com
[ req_distinguished_name ]
countryName = US
stateOrProvinceName = NY
localityName = New York
0.organizationName = Example Inc.
organizationalUnitName = IT Org
commonName = vcenter1.example.com

      Tenga en cuenta lo siguiente:

      • subjectAltName: use el formato DNS:FQDN_of_vCenter_Appliance_to_use_the_CA-signed certificate.
      • commonName: utilice el mismo FQDN del dispositivo de vCenter utilizado en subjectAltName.
    2. Ejecute openssl para generar un archivo CSR y un archivo de claves, pasando el archivo de configuración. 
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. Realice una copia de seguridad del certificado rui.crt y de los archivos rui.key, que están almacenados en la siguiente ubicación.
    /var/lib/vmware/vmcam/ssl/rui.crt
  3. Elimine vSphere Authentication Proxy del registro.
    1. Vaya al directorio /usr/lib/vmware-vmcam/bin, donde se encuentra el script camregister.
    2. Ejecute el siguiente comando. 
      camregister --unregister -a VC_address -u user
      El valor user debe ser un usuario de vCenter Single Sign-On que tenga permisos de administrador en vCenter Server.
  4. Detenga el servicio de vSphere Authentication Proxy.
    Herramienta Pasos
    Interfaz de administración de configuración de vCenter Server
    1. En un explorador web, desplácese hasta la interfaz de administración de configuración de vCenter Server, https://dirección-IP-o-FQDN-de-vCenter:5480.
    2. Inicie sesión como raíz.

      La contraseña raíz predeterminada es la que estableció al implementar vCenter Server.

    3. Haga clic en Servicios y en VMware vSphere Authentication Proxy.
    4. Haga clic en Detener.
    CLI 
    service-control --stop vmcam
  5. Reemplace el certificado rui.crt existente y los archivos rui.key por los archivos que le envió la entidad de certificación.
  6. Reinicie el servicio de vSphere Authentication Proxy.
  7. Vuelva a registrar vSphere Authentication Proxy explícitamente en vCenter Server usando el nuevo certificado y la clave. 
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key