收到自訂憑證後,您可以取代每個機器憑證。

開始之前

您一定已收到第三方或企業憑證授權機構核發給每台機器的憑證。

  • 金鑰大小:2048 位元或以上 (PEM 編碼)

  • CRT 格式

  • x509 第 3 版

  • SubjectAltName 必須包含 DNS Name=<machine_FQDN>

  • 包含下列金鑰使用方法:數位簽章、不可否認性、金鑰編密

執行這項作業的原因和時機

每台機器必須具有機器 SSL 憑證,以便與其他服務進行安全通訊。在多節點部署中,您必須在每個節點上執行機器 SSL 憑證產生命令。使用 --server參數從含外部 Platform Services ControllervCenter Server 指向 Platform Services Controller

在開始取代憑證之前,您必須準備好下列資訊:

  • administrator@vsphere.local 的密碼。

  • 有效的機器 SSL 自訂憑證 (.crt 檔案)。

  • 有效的機器 SSL 自訂金鑰 (.key 檔案)。

  • 有效的自訂根憑證 (.crt 檔案)。

  • 如果您在多節點部署中於含外部 Platform Services ControllervCenter Server 上執行命令,需要 Platform Services Controller 的 IP 位址。

程序

  1. 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。

    Windows 和 vCenter Server Appliance上的服務名稱並不相同。

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  2. 登入每個節點,並將從 CA 收到的新機器憑證新增到 VECS 中。

    所有機器都需要使用本機憑證存放區中的新憑證,以透過 SSL 進行通訊。

    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
    --key <key-file-path>
  3. 重新啟動所有服務。
    service-control --start --all
    

將機器 SSL 憑證取代為自訂憑證

您可以在每個節點上以相同方式取代機器 SSL 憑證。

  1. 首先,刪除 VECS 中的現有憑證。

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
  2. 接著,新增替代憑證。

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv

下一步

您也可以取代ESXi主機的憑證。請參閱 《vSphere 安全性》出版物。

在多節點部署中取代根憑證之後,您必須在含外部 Platform Services Controller節點的所有 vCenter Server 上重新啟動服務。