カスタム証明書によるマシン SSL 証明書の置き換え

カスタム証明書を取得したら、各マシン証明書を置き換えることができます。

証明書の置き換えを開始する前に、次の情報を確認しておく必要があります。

[email protected] のパスワード
有効なマシン SSL カスタム証明書（.crt ファイル）
有効なマシン SSL カスタムキー（.key ファイル）
ルートの有効なカスタム証明書（.crt ファイル）

前提条件

サードパーティまたはエンタープライズ CA から各マシンの証明書を取得している必要があります。

キーサイズ：2,048 ビット（最小）から 16,384 ビット（最大）（PEM エンコード）
CRT 形式
x509 バージョン 3
SubjectAltName には DNS Name=<machine_FQDN> が含まれている必要があります。
キー使用法として、デジタル署名、キー暗号化が含まれている必要があります

手順

すべてのサービスを停止し、証明書の作成、伝達、およびストレージを処理するサービスを開始します。
```
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
```
各ノードにログインし、取得した新しいマシン証明書を CA から VECS に追加します。
SSL を介して通信する場合、すべてのマシンのローカル証明書ストアに、新しい証明書が必要となります。
```
vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>
```

Lookup Service 登録エンドポイントを更新します。

/usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user '[email protected]' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>

すべてのサービスを再開します。
```
service-control --start --all
```