Vous générez de nouveaux certificats signés par l'autorité de certification VMware (VMCA) avec l'interface de ligne de commande certool et vous les publiez dans vmdir.

Pourquoi et quand exécuter cette tâche

Dans un déploiement à plusieurs nœuds, vous exécutez des commandes de génération de certificats racines sur Platform Services Controller.

Procédure

  1. Générez un nouveau certificat auto-signé et une clé privée.
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. Remplacez le certificat racine existant par le nouveau certificat.
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>

    La commande génère le certificat et l'ajoute à vmdir, puis à VECS.

  3. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.

    Les noms de service diffèrent sur Windows et pour le vCenter Server Appliance.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. (Facultatif) : Publiez le nouveau certificat racine dans vmdir.
    dir-cli trustedcert publish --cert newRoot.crt
    

    Lorsque vous exécutez cette commande, toutes les instances de vmdir sont mises à jour immédiatement. Sinon, la propagation à toutes les instances peut prendre un certain temps.

  5. Redémarrez tous les services.
    service-control --start --all
    

Générer un nouveau certificat racine signé par VMCA

L'exemple suivant montre l'ensemble des étapes nécessaires à la vérification des informations de l'autorité de certification racine et à la régénération du certificat racine.

  1. (Facultatif) Affichez le certificat racine VMCA pour vous assurer qu'il se trouve dans le magasin de certificats.

    • Sur un nœud Platform Services Controller ou une installation intégrée :

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
    • Sur un nœud de gestion (installation externe) :

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>

    Le résultat est semblable à ce qui suit :

    output:
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af
        ...
    

  2. (Facultatif) Affichez le magasin VECS TRUSTED_ROOTS et comparez le numéro de série du certificat qui s'y trouve au résultat de l'étape 1.

    Cette commande fonctionne sur Platform Services Controller et sur les nœuds de gestion, car VECS interroge vmdir.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
    

    Dans le cas le plus simple avec un seul certificat racine, le résultat est semblable à ce qui suit :

    Number of entries in store :    1
    Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
    Entry type :    Trusted Cert
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af

  3. Générez un nouveau certificat racine VMCA. Le certificat est ajouté au magasin TRUSTED_ROOTS dans VECS et dans vmdir (service d'annuaire VMware).

    C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"

    Sous Windows, --config est facultatif, car la commande utilise le fichier certool.cfg par défaut.