搭配使用自訂憑證和 vSphere Authentication Proxy 包含多個步驟。首先產生 CSR,並將其傳送到 CA 進行簽署。然後將簽署的憑證和金鑰檔案放置在 vSphere Authentication Proxy 可存取的位置。

執行這項作業的原因和時機

依預設,vSphere Authentication Proxy 在首次開機期間會產生 CSR,然後要求 VMCA 簽署該 CSR。vSphere Authentication Proxy 使用該憑證向 vCenter Server 登錄。如果您將自訂憑證新增到 vCenter Server,便可以在自己的環境中使用這些憑證。

程序

  1. 為 vSphere Authentication Proxy 產生 CSR。
    1. 建立組態檔 /var/lib/vmware/vmcam/ssl/vmcam.cfg,如下列範例所示。
      [ req ]
      distinguished_name = req_distinguished_name
      encrypt_key = no
      prompt = no
      string_mask = nombstr
      req_extensions = v3_req
      [ v3_req ]
      basicConstraints = CA:false
      keyUsage = nonRepudiation, digitalSignature, keyEncipherment
      subjectAltName = DNS:olearyf-static-1.csl.vmware.com
      [ req_distinguished_name ]
      countryName = IE
      stateOrProvinceName = Cork
      localityName = Cork
      0.organizationName = VMware
      organizationalUnitName = vTSU
      commonName = test-cam-1.test1.vmware.com
    2. 執行 openssl 以產生 CSR 檔案和金鑰檔案,並於組態檔中傳遞。
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. 備份儲存在下列位置的 rui.crt 憑證和 rui.key 檔案。

    作業系統

    位置

    vCenter Server Appliance

    /var/lib/vmware/vmcam/ssl/rui.crt

    vCenter Server Windows

    C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt

  3. 解除登錄 vSphere Authentication Proxy。
    1. 前往 camregister 指令碼所在的目錄。

      作業系統

      命令

      vCenter Server Appliance

      /usr/lib/vmware-vmcam/bin

      vCenter Server Windows

      C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt

    2. 執行下列命令。
      camregister --unregister -a VC_address -u user
      

      user 必須是擁有 vCenter Server 管理員權限的 vCenter Single Sign-On 使用者。

  4. 停止 vSphere Authentication Proxy 服務。

    工具

    步驟

    vSphere Web Client

    1. 按一下管理,然後按一下部署下的系統組態

    2. 按一下服務,接著按一下 VMware vSphere Authentication Proxy 服務,然後停止服務。

    CLI

    service-control --stop vmcam
    
  5. 將現有的 rui.crt 憑證和 rui.key 檔案取代為從 CA 收到的檔案。
  6. 重新啟動 vSphere Authentication Proxy 服務。
  7. 使用新憑證和金鑰向 vCenter Server 明確重新登錄 vSphere Authentication Proxy。
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key