L'utilisation des certificats personnalisés avec vSphere Authentication Proxy se compose de plusieurs étapes. Tout d'abord, vous générez une demande de signature de certificat (CSR) et vous l'envoyez à votre autorité de certification pour signature. Ensuite, vous placez le certificat signé et le fichier de clé dans un emplacement auquel vSphere Authentication Proxy peut accéder.

Par défaut, vSphere Authentication Proxy génère un CSR lors du premier démarrage et demande à VMCA de signer ce CSR. vSphere Authentication Proxy s'enregistre avec vCenter Server à l'aide de ce certificat. Vous pouvez utiliser des certificats personnalisés dans votre environnement, si vous ajoutez ces certificats à vCenter Server.

Procédure

  1. Générez un CSR pour vSphere Authentication Proxy.
    1. Créez un fichier de configuration, /var/lib/vmware/vmcam/ssl/vmcam.cfg, comme dans l'exemple suivant.
      [ req ]
      distinguished_name = req_distinguished_name
      encrypt_key = no
      prompt = no
      string_mask = nombstr
      req_extensions = v3_req
      [ v3_req ]
      basicConstraints = CA:false
      keyUsage = nonRepudiation, digitalSignature, keyEncipherment
      subjectAltName = DNS:dns.static-1.csl.vmware.com
      [ req_distinguished_name ]
      countryName = IE
      stateOrProvinceName = Cork
      localityName = Cork
      0.organizationName = VMware
      organizationalUnitName = vTSU
      commonName = test-cam-1.test1.vmware.com
    2. Exécutez openssl pour générer un fichier CSR et un fichier de clé, en transitant par le fichier de configuration.
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. Sauvegardez le certificat rui.crt, ainsi que les fichiers rui.key, qui sont stockés à l'emplacement suivant.
    SE Emplacement
    vCenter Server Appliance /var/lib/vmware/vmcam/ssl/rui.crt
    vCenter Server pour Windows C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt
  3. Annulez l'enregistrement de vSphere Authentication Proxy.
    1. Accédez au répertoire dans lequel le script camregister se trouve.
      SE Commandes
      vCenter Server Appliance /usr/lib/vmware-vmcam/bin
      vCenter Server pour Windows C:\Program Files\VMware\vCenter Server\vmcamd
    2. Exécutez la commande suivante.
      camregister --unregister -a VC_address -u user
      user doit être un utilisateur vCenter Single Sign-On disposant d'autorisations d'administrateur sur vCenter Server.
  4. Arrêtez le service vSphere Authentication Proxy.
    Outil Étapes
    Interface de gestion de vCenter Server Appliance (VAMI)
    1. Dans un navigateur Web, accédez à l'interface de gestion de vCenter Server Appliance, https:// appliance-IP-address-or-FQDN:5480.
    2. Connectez-vous en tant qu'utilisateur racine.

      Le mot de passe racine par défaut est le mot de passe que vous définissez lors du déploiement de vCenter Server Appliance.

    3. Cliquez sur Services, puis sur le service VMware vSphere Authentication Proxy.
    4. Cliquez sur Arrêter.
    vSphere Web Client
    1. Sélectionnez Administration, puis cliquez sur Configuration système sous Déploiement.
    2. Cliquez sur Services, sur le service VMware vSphere Authentication Proxy et sur l'icône rouge Arrêter le service.
    CLI
    service-control --stop vmcam
    
  5. Remplacez le certificat rui.crt et les fichiers rui.key existants par les fichiers que vous avez reçus de votre autorité de certification.
  6. Redémarrez le service vSphere Authentication Proxy.
  7. Réenregistrez vSphere Authentication Proxy explicitement avec vCenter Server en utilisant le nouveau certificat et la clé.
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key