取代機器 SSL 憑證後,您可以將 VMCA 簽署的解決方案使用者憑證取代為第三方或企業憑證。

許多 VMware 客戶未取代解決方案使用者憑證。僅將機器 SSL 憑證取代為自訂憑證。此一混合式方法可滿足客戶安全性團隊的需求。
  • 這些憑證位於 Proxy 後方,或屬於自訂憑證。
  • 不使用任何中繼 CA。

解決方案使用者僅可使用憑證向 vCenter Single Sign-On 進行驗證。如果憑證有效,vCenter Single Sign-On 會為解決方案使用者指派 SAML Token,接著解決方案使用者再使用 SAML Token 向其他 vCenter 元件進行驗證。

您會在每個管理節點與每個 Platform Services Controller 節點上取代機器解決方案使用者憑證。您只會在每個管理節點上取代其他解決方案使用者憑證。在包含外部 Platform Services Controller 的管理節點上執行命令時,請使用 --server 參數指向 Platform Services Controller

備註: 當您列出大型部署中的解決方案使用者憑證時, dir-cli list 的輸出會包含所有節點上的所有解決方案使用者。請執行 vmafd-cli get-machine-id --server-name localhost 以找出每台主機的本機機器識別碼。每個解決方案使用者名稱都包含機器識別碼。

必要條件

  • 金鑰大小:2048 位元或以上 (PEM 編碼)
  • CRT 格式
  • x509 第 3 版
  • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。

  • 每個解決方案使用者憑證必須具有不同的 Subject。例如,您可以考慮加入解決方案使用者名稱 (例如 vpxd) 或其他唯一識別碼。

  • 包含下列金鑰使用方法:數位簽章、金鑰編密

程序

  1. 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmca
  2. 找到每個解決方案使用者的名稱。 
    dir-cli service list
    您可以使用取代憑證時返回的唯一識別碼。輸入和輸出內容可能如下。 
    C:\Program Files\VMware\vCenter Server\vmafdd>dir-cli service list
Enter password for [email protected]:
1. machine-1d364500-4b45-11e4-96c2-020011c98db3
2. vpxd-1d364500-4b45-11e4-96c2-020011c98db3
3. vpxd-extension-1d364500-4b45-11e4-96c2-020011c98db3
4. vsphere-webclient-1d364500-4b45-11e4-96c2-020011c98db3
    當您列出多節點部署中的解決方案使用者憑證時, dir-cli list 的輸出會包含所有節點上的所有解決方案使用者。請執行 vmafd-cli get-machine-id --server-name localhost 以找出每台主機的本機機器識別碼。每個解決方案使用者名稱都包含機器識別碼。
  3. 針對每個解決方案使用者,先後取代 VECS 和 vmdir 中的現有憑證。
    您必須以此順序新增憑證。 
    vecs-cli entry delete --store vpxd --alias vpxd
vecs-cli entry create --store vpxd --alias vpxd --cert vpxd.crt --key vpxd.priv
dir-cli service update --name <vpxd-xxxx-xxx-xxxxxx> --cert vpxd.crt
    備註: 如果您不取代 vmdir 中的憑證,解決方案使用者就無法向 vCenter Single Sign-On 進行驗證。
  4. 重新啟動所有服務。 
    service-control --start --all