L'utilizzo di certificati personalizzati con vSphere Authentication Proxy consiste in diversi passaggi. Generare innanzitutto una richiesta CSR e inviarla all'autorità di certificazione per la firma. Quindi il certificato firmato e il file della chiave vengono posizionati in un luogo a cui vSphere Authentication Proxy può accedere.

Per impostazione predefinita, vSphere Authentication Proxy genera una richiesta CSR durante il primo avvio e chiede a VMCA di firmare tale CSR. vSphere Authentication Proxy si registra con vCenter Server che utilizza tale certificato. È possibile utilizzare certificati personalizzati nel proprio ambiente quando li si aggiunge a vCenter Server.

Procedura

  1. Generare una richiesta CSR per vSphere Authentication Proxy.
    1. Creare un file di configurazione, /var/lib/vmware/vmcam/ssl/vmcam.cfg, come nell'esempio seguente. 
      [ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:vcenter1.example.com
[ req_distinguished_name ]
countryName = US
stateOrProvinceName = NY
localityName = New York
0.organizationName = Example Inc.
organizationalUnitName = IT Org
commonName = vcenter1.example.com

      Si tenga presente quanto segue:

      • subjectAltName: utilizzare il formato DNS:FQDN_of_vCenter_Appliance_to_use_the_CA-signed certificate.
      • commonName: utilizzare lo stesso nome di dominio completo (FQDN) di vCenter Appliance utilizzato in subjectAltName.
    2. Eseguire openssl per generare un file CSR e un file della chiave, passando nel file di configurazione. 
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. Eseguire il backup del certificato rui.crt e dei file rui.key che vengono archiviati nella seguente posizione.
    /var/lib/vmware/vmcam/ssl/rui.crt
  3. Annullare la registrazione vSphere Authentication Proxy.
    1. Passare alla directory /usr/lib/vmware-vmcam/bin in cui si trova lo script camregister.
    2. Eseguire il comando seguente. 
      camregister --unregister -a VC_address -u user
      La funzione utente deve essere un utente vCenter Single Sign-On che disponga delle autorizzazioni di amministratore per vCenter Server.
  4. Arrestare il servizio vSphere Authentication Proxy.
    Strumento Passaggi
    vCenter Server Interfaccia di gestione della configurazione
    1. In un browser Web, passare all'interfaccia di gestione della configurazione vCenter Server, https://vcenter-IP-address-or-FQDN:5480.
    2. Accedere come root.

      La password root predefinita è la password impostata durante la distribuzione di vCenter Server.

    3. Fare clic su Servizi e quindi sul servizio VMware vSphere Authentication Proxy.
    4. Fare clic su Interrompi .
    CLI 
    service-control --stop vmcam
  5. Sostituire il certificato esistente rui.crt e i file rui.key con i file ricevuti dall'autorità di certificazione.
  6. Riavviare il servizio vSphere Authentication Proxy.
  7. Registrare nuovamente vSphere Authentication Proxy esplicitamente con vCenter Server utilizzando il nuovo certificato e la chiave. 
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key