L'utilisation des certificats personnalisés avec vSphere Authentication Proxy se compose de plusieurs étapes. Tout d'abord, vous générez une demande de signature de certificat (CSR) et vous l'envoyez à votre autorité de certification pour signature. Ensuite, vous placez le certificat signé et le fichier de clé dans un emplacement auquel vSphere Authentication Proxy peut accéder.

Par défaut, vSphere Authentication Proxy génère un CSR lors du premier démarrage et demande à VMCA de signer ce CSR. vSphere Authentication Proxy s'enregistre avec vCenter Server à l'aide de ce certificat. Vous pouvez utiliser des certificats personnalisés dans votre environnement, si vous ajoutez ces certificats à vCenter Server.

Procédure

  1. Générez un CSR pour vSphere Authentication Proxy.
    1. Créez un fichier de configuration, /var/lib/vmware/vmcam/ssl/vmcam.cfg, comme dans l'exemple suivant.
      [ req ]
      distinguished_name = req_distinguished_name
      encrypt_key = no
      prompt = no
      string_mask = nombstr
      req_extensions = v3_req
      [ v3_req ]
      basicConstraints = CA:false
      keyUsage = nonRepudiation, digitalSignature, keyEncipherment
      subjectAltName = DNS:vcenter1.example.com
      [ req_distinguished_name ]
      countryName = US
      stateOrProvinceName = NY
      localityName = New York
      0.organizationName = Example Inc.
      organizationalUnitName = IT Org
      commonName = vcenter1.example.com

      Notez les points suivants :

      • subjectAltName : utilisez le format DNS:FQDN_du_dispositif_vCenter_qui_utilise_le_certificat_signé_par_autorité_de_certification.
      • commonName : utilisez le même nom de domaine complet que celui du dispositif vCenter utilisé dans subjectAltName.
    2. Exécutez openssl pour générer un fichier CSR et un fichier de clé, en transitant par le fichier de configuration.
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. Sauvegardez le certificat rui.crt, ainsi que les fichiers rui.key, qui sont stockés à l'emplacement suivant.
    /var/lib/vmware/vmcam/ssl/rui.crt
  3. Annulez l'enregistrement de vSphere Authentication Proxy.
    1. Accédez au répertoire /usr/lib/vmware-vmcam/bin/ dans lequel se trouve le script camregister.
    2. Exécutez la commande suivante.
      camregister --unregister -a VC_address -u user
      
      user doit être un utilisateur vCenter Single Sign-On disposant d'autorisations d'administrateur sur vCenter Server.
  4. Arrêtez le service vSphere Authentication Proxy.
    Outil Étapes
    Interface de gestion de la configuration de vCenter Server
    1. Dans un navigateur Web, accédez à l'interface de gestion de la configuration de vCenter Server, https://vcenter-IP-address-or-FQDN:5480.
    2. Connectez-vous en tant qu'utilisateur racine.

      Le mot de passe racine par défaut est le mot de passe que vous définissez lors du déploiement de vCenter Server.

    3. Cliquez sur Services, puis sur VMware vSphere Authentication Proxy.
    4. Cliquez sur Arrêter.
    CLI
    service-control --stop vmcam
    
  5. Remplacez le certificat rui.crt et les fichiers rui.key existants par les fichiers que vous avez reçus de votre autorité de certification.
  6. Redémarrez le service vSphere Authentication Proxy.
  7. Réenregistrez vSphere Authentication Proxy explicitement avec vCenter Server en utilisant le nouveau certificat et la clé.
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key