取代機器 SSL 憑證後,您可以將 VMCA 簽署的解決方案使用者憑證取代為第三方或企業憑證。

執行這項作業的原因和時機

許多 VMware 客戶未取代解決方案使用者憑證。僅將機器 SSL 憑證取代為自訂憑證。此一混合式方法可滿足客戶安全性團隊的需求。

  • 這些憑證位於 Proxy 後方,或屬於自訂憑證。

  • 不使用任何中繼 CA。

解決方案使用者僅可使用憑證向 vCenter Single Sign-On 進行驗證。如果憑證有效,vCenter Single Sign-On 會為解決方案使用者指派 SAML Token,接著解決方案使用者再使用 SAML Token 向其他 vCenter 元件進行驗證。

您會在每個管理節點與每個 Platform Services Controller 節點上取代機器解決方案使用者憑證。您只會在每個管理節點上取代其他解決方案使用者憑證。在包含外部 Platform Services Controller 的管理節點上執行命令時,請使用 --server 參數指向 Platform Services Controller

備註︰

當您列出大型部署中的解決方案使用者憑證時,dir-cli list 的輸出會包含所有節點上的所有解決方案使用者。請執行 vmafd-cli get-machine-id --server-name localhost 以找出每台主機的本機機器識別碼。每個解決方案使用者名稱都包含機器識別碼。

先決條件

  • 金鑰大小:2048 位元或以上 (PEM 編碼)

  • CRT 格式

  • x509 第 3 版

  • SubjectAltName 必須包含 DNS Name=<machine_FQDN>

  • 每個解決方案使用者憑證必須具有不同的Subject。例如,您可以考慮加入解決方案使用者名稱 (例如 vpxd) 或其他唯一識別碼。

  • 包含下列金鑰使用方法:數位簽章、不可否認性、金鑰編密

程序

  1. 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmca
    
  2. 找到每個解決方案使用者的名稱。
    dir-cli service list 
    

    您可以使用取代憑證時返回的唯一識別碼。輸入和輸出內容可能如下。

    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
    Enter password for administrator@vsphere.local:
    1. machine-1d364500-4b45-11e4-96c2-020011c98db3
    2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
    3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
    4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3

    當您列出多節點部署中的解決方案使用者憑證時,dir-cli list 的輸出會包含所有節點上的所有解決方案使用者。請執行vmafd-cli get-machine-id --server-name localhost以找出每台主機的本機機器識別碼。每個解決方案使用者名稱都包含機器識別碼。

  3. 針對每個解決方案使用者,先後取代 VECS 和 vmdir 中的現有憑證。

    您必須以此順序新增憑證。

    vecs-cli entry delete --store vpxd --alias vpxd
    vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
    dir-cli service update --name <vpxd-xxxx-xxx-xxxxxx> --cert vpxd.crt
    
    備註︰

    如果您不取代 vmdir 中的憑證,解決方案使用者就無法向 vCenter Single Sign-On 進行驗證。

  4. 重新啟動所有服務。
    service-control --start --all