Après avoir reçu les certificats personnalisés, vous pouvez remplacer chaque certificat de machine.
Vous devez disposer des informations suivantes avant de pouvoir commencer à remplacer les certificats :
- Mot de passe pour [email protected]
- Certificat personnalisé SSL valide de la machine (fichier .crt)
- Clé personnalisée SSL valide de la machine (fichier .key)
- Certificat personnalisé valide pour Root (fichier .crt)
Conditions préalables
Vous devez avoir reçu de votre autorité de certification tierce ou d'entreprise un certificat pour chaque machine.
- Taille de clé : de 2 048 bits (minimum) à 16 384 bits (maximum) (codée au format PEM)
- Format CRT
- x509 version 3
- SubjectAltName doit contenir DNS Name=<machine_FQDN>.
- Contient les utilisations de clé suivantes : signature numérique, chiffrement de clé
Procédure
- Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- Connectez-vous à chaque nœud et ajoutez à VECS les nouveaux certificats de machine que vous avez reçus de l'autorité de certification.
Le nouveau certificat doit figurer dans le magasin de certificats local de toutes les machines pour que celles-ci puissent communiquer sur SSL.
vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>
- Mettez à jour le point de terminaison d'enregistrement de Lookup Service.
/usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user '[email protected]' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>
- Redémarrez tous les services.
service-control --start --all
