L'utilisation des certificats personnalisés avec vSphere Authentication Proxy se compose de plusieurs étapes. Tout d'abord, vous générez une demande de signature de certificat (CSR) et vous l'envoyez à votre autorité de certification pour signature. Ensuite, vous placez le certificat signé et le fichier de clé dans un emplacement auquel vSphere Authentication Proxy peut accéder.

Pourquoi et quand exécuter cette tâche

Par défaut, vSphere Authentication Proxy génère un CSR lors du premier démarrage et demande à VMCA de signer ce CSR. vSphere Authentication Proxy s'enregistre avec vCenter Server à l'aide de ce certificat. Vous pouvez utiliser des certificats personnalisés dans votre environnement, si vous ajoutez ces certificats à vCenter Server.

Procédure

  1. Générez un CSR pour vSphere Authentication Proxy.
    1. Créez un fichier de configuration, /var/lib/vmware/vmcam/ssl/vmcam.cfg, comme dans l'exemple suivant.
      [ req ]
      distinguished_name = req_distinguished_name
      encrypt_key = no
      prompt = no
      string_mask = nombstr
      req_extensions = v3_req
      [ v3_req ]
      basicConstraints = CA:false
      keyUsage = nonRepudiation, digitalSignature, keyEncipherment
      subjectAltName = DNS:olearyf-static-1.csl.vmware.com
      [ req_distinguished_name ]
      countryName = IE
      stateOrProvinceName = Cork
      localityName = Cork
      0.organizationName = VMware
      organizationalUnitName = vTSU
      commonName = test-cam-1.test1.vmware.com
    2. Exécutez openssl pour générer un fichier CSR et un fichier de clé, en transitant par le fichier de configuration.
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. Sauvegardez le certificat rui.crt, ainsi que les fichiers rui.key, qui sont stockés à l'emplacement suivant.

    SE

    Emplacement

    vCenter Server Appliance

    /var/lib/vmware/vmcam/ssl/rui.crt

    vCenter Server pour Windows

    C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt

  3. Annulez l'enregistrement de vSphere Authentication Proxy.
    1. Accédez au répertoire dans lequel le script camregister se trouve.

      SE

      Commandes

      vCenter Server Appliance

      /usr/lib/vmware-vmcam/bin

      vCenter Server pour Windows

      C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt

    2. Exécutez la commande suivante.
      camregister --unregister -a VC_address -u user
      

      user doit être un utilisateur vCenter Single Sign-On disposant d'autorisations d'administrateur sur vCenter Server.

  4. Arrêtez le service vSphere Authentication Proxy.

    Outil

    Étapes

    vSphere Web Client

    1. Cliquez sur Administration, puis sur Configuration système sous Déploiement.

    2. Cliquez sur Services, puis sur le service VMware vSphere Authentication Proxy, et arrêtez le service.

    CLI

    service-control --stop vmcam
    
  5. Remplacez le certificat rui.crt et les fichiers rui.key existants par les fichiers que vous avez reçus de votre autorité de certification.
  6. Redémarrez le service vSphere Authentication Proxy.
  7. Réenregistrez vSphere Authentication Proxy explicitement avec vCenter Server en utilisant le nouveau certificat et la clé.
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key