Per impostazione predefinita, il server di Auto Deploy fornisce a ogni host certificati firmati dall'Autorità di certificazione VMware (VMCA). È possibile configurare il server Auto Deploy per eseguire il provisioning di tutti gli host con certificati personalizzati non firmati da VMCA. In questo scenario, il server Auto Deploy diventa un'autorità di certificazione subordinata dell'autorità di certificazione di terze parti.

Prerequisiti

  • Richiedere un certificato all'autorità di certificazione. Il certificato deve soddisfare i seguenti requisiti.
    • Dimensioni chiave: da 2048 bit (minimo) a 8192 bit (massimo) (con codifica PEM)
    • Formato PEM. VMware supporta PKCS8 e PKCS1 (chiavi RSA). Quando le chiavi vengono aggiunte in VECS, vengono convertite in PKCS8.
    • x509 versione 3
    • Per i certificati root, l'estensione CA deve essere impostata su true e la firma del certificato deve essere presente nell'elenco dei requisiti.
    • SubjectAltName deve contenere DNS Name=<machine_FQDN>.
    • Formato CRT
    • Contiene i seguenti Utilizzi chiavi: Firma digitale, Crittografia chiave
    • Ora di inizio un giorno prima dell'ora corrente.
    • CN (e SubjectAltName) impostato sul nome host (o indirizzo IP) che l'host ESXi ha nell'inventario di vCenter Server.
    Nota: Il certificato FIPS di vSphere convalida solo le chiavi RSA con dimensioni 2048 e 3072. Vedere Considerazioni sull'utilizzo di FIPS.
  • Denominare i file del certificato e della chiave rbd-ca.crt e rbd-ca.key.

Procedura

  1. Eseguire il backup dei certificati ESXi predefiniti.
    I certificati si trovano nella directory /etc/vmware-rbd/ssl/.
  2. Arrestare il servizio vSphere Authentication Proxy.
    Strumento Passaggi
    Interfaccia di gestione di vCenter Server
    1. In un browser Web, passare all'interfaccia di gestione di vCenter Server, https://vcenter-IP-address-or-FQDN:5480.
    2. Accedere come root.

      La password root predefinita è la password impostata durante la distribuzione di vCenter Server.

    3. Fare clic su Servizi e quindi sul servizio VMware vSphere Authentication Proxy.
    4. Fare clic su Interrompi .
    CLI 
    service-control --stop vmcam
  3. Nel sistema in cui viene eseguito il servizio Auto Deploy, sostituire rbd-ca.crt e rbd-ca.key e /etc/vmware-rbd/ssl/ con i file certificato e chiave personalizzati.
  4. Nel sistema in cui viene eseguito il servizio Auto Deploy, eseguire il comando seguente per aggiornare l'archivio TRUSTED_ROOTS all'interno di VECS (VMware Endpoint Certificate Store) in modo che utilizzi i nuovi certificati. 
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
/usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
  5. Creare un file castore.pem contenente ciò che si trova nell'archivio TRUSTED_ROOTS e collocare il file nella directory /etc/vmware-rbd/ssl/.
    In modalità personalizzata, l'utente è responsabile della gestione del file.
  6. Modificare la modalità del certificato ESXi per il sistema vCenter Server in personalizzata.
    Vedere Modifica della modalità del certificato di ESXi.
  7. Riavviare il servizio vCenter Server e avviare il servizio Auto Deploy.

risultati

Al successivo provisioning di un host configurato per l'utilizzo di Auto Deploy, il server Auto Deploy genera un certificato. Il server Auto Deploy utilizza il certificato root aggiunto all'archivio di TRUSTED_ROOTS.

Nota: Se si verificano problemi relativi ad Auto Deploy dopo la sostituzione del certificato, vedere l'articolo della Knowledge Base VMware all'indirizzo https://kb.vmware.com/s/article/2000988.