Vous générez de nouveaux certificats signés par VMCA avec l'interface de ligne de commande certool ou l'utilitaire vSphere Certificate Manager, et publiez les certificats dans vmdir.

Pourquoi et quand exécuter cette tâche

Dans un déploiement à plusieurs nœuds, vous exécutez des commandes de génération de certificats racines sur Platform Services Controller.

Procédure

  1. Générez un nouveau certificat auto-signé et une clé privée.
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. Remplacez le certificat racine existant par le nouveau certificat.
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>

    La commande génère le certificat et l'ajoute à vmdir, puis à VECS.

  3. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.

    Les noms de service diffèrent sur Windows et pour le vCenter Server Appliance.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. (Facultatif) : Publiez le nouveau certificat racine dans vmdir.
    dir-cli trustedcert publish --cert newRoot.crt
    

    La commande met à jour toutes les instances de vmdir immédiatement. Si vous n'exécutez pas la commande, la propagation du nouveau certificat dans tous les nœuds peut prendre un certain temps.

  5. Redémarrez tous les services.
    service-control --start --all
    

Générer un nouveau certificat racine signé par VMCA

L'exemple suivant montre toutes les étapes nécessaires à la vérification des informations de l'autorité de certification racine actuelle et à la régénération du certificat racine.

  1. (Facultatif) Affichez le certificat racine VMCA pour vous assurer qu'il se trouve dans le magasin de certificats.

    • Sur un nœud Platform Services Controller ou une installation intégrée :

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
    • Sur un nœud de gestion (installation externe) :

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>

    Le résultat est semblable à ce qui suit :

    output:
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af
        ...
    

  2. (Facultatif) Affichez le magasin VECS TRUSTED_ROOTS et comparez le numéro de série du certificat qui s'y trouve au résultat de l'étape 1.

    Cette commande fonctionne sur les nœuds Platform Services Controller et sur les nœuds de gestion, car VECS interroge vmdir.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
    

    Dans le cas le plus simple avec un seul certificat racine, le résultat est semblable à ce qui suit :

    Number of entries in store :    1
    Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
    Entry type :    Trusted Cert
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af

  3. Générez un nouveau certificat racine VMCA. La commande ajoute le certificat au magasin TRUSTED_ROOTS dans VECS et dans vmdir (Vmware Directory Service).

    C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"

    Sous Windows, --config est facultatif, car la commande utilise le fichier certool.cfg par défaut.