依預設,Auto Deploy 伺服器會使用由 VMCA 簽署的憑證佈建每台主機。可以將 Auto Deploy 伺服器設定為使用不是 VMCA 簽署的自訂憑證佈建所有主機。在此案例中,Auto Deploy 伺服器會變為第三方 CA 的下層憑證授權機構。
必要條件
- 向 CA 要求憑證。憑證必須符合這些需求。
- 金鑰大小:2048 位元或以上 (PEM 編碼)
- PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
- x509 第 3 版
- 若為根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。
- SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
- CRT 格式
- 包含下列金鑰使用方法:數位簽章、不可否認性、金鑰編密
- 某天的開始時間早於目前時間。
- CN (和 SubjectAltName) 設為 ESXi 主機在 vCenter Server 詳細目錄中所擁有的主機名稱 (或 IP 位址)。
- 將憑證和金鑰檔案命名為 rbd-ca.crt 和 rbd-ca.key。
程序
- 備份預設 ESXi 憑證。
憑證位於
/etc/vmware-rbd/ssl/ 目錄中。
- 停止 vSphere Authentication Proxy 服務。
| 工具 |
步驟 |
| vCenter Server Appliance 管理介面 (VAMI) |
- 在網頁瀏覽器中,前往 vCenter Server Appliance 管理介面 (https:// appliance-IP-address-or-FQDN:5480)。
- 以 root 身分登入。
預設根密碼為部署 vCenter Server Appliance 時設定的密碼。
- 按一下服務,然後按一下 VMware vSphere Authentication Proxy 服務。
- 按一下停止。
|
| vSphere Web Client |
- 選取管理,然後在部署下按一下系統組態。
- 按一下服務,然後按一下 VMware vSphere Authentication Proxy 服務。
- 按一下紅色的停止服務圖示。
|
| CLI |
service-control --stop vmcam
|
- 在 Auto Deploy 服務執行的系統上,將 /etc/vmware-rbd/ssl/ 中的 rbd-ca.crt 和 rbd-ca.key 取代為您的自訂憑證和金鑰檔案。
- 在執行 Auto Deploy 服務的系統上,執行下列命令更新 VECS 內的 TRUSTED_ROOTS 存放區以使用新憑證。
| 選項 |
說明 |
| Windows |
cd "C:\Program Files\VMware\vCenter Server\vmafdd\"
.\dir-cli.exe trustedcert publish --cert C:\ProgramData\VMware\vCenterServer\data\autodeploy\ssl\rbd-ca.crt
.\vecs-cli force-refresh |
| Linux |
/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
/usr/lib/vmware-vmafd/bin/vecs-cli force-refresh |
- 建立可包含 TRUSTED_ROOTS 存放區中內容的 castore.pem 檔案,然後將該檔案放置在 /etc/vmware-rbd/ssl/ 目錄中。
在自訂模式中,您負責維護此檔案。
- 將 vCenter Server 系統的 ESXi 憑證模式變更為自訂。
- 重新啟動 vCenter Server 服務,然後啟動 Auto Deploy 服務。
結果
下一次您佈建已設定為使用 Auto Deploy 的主機時,Auto Deploy 伺服器會產生憑證。Auto Deploy 伺服器使用您剛剛新增至 TRUSTED_ROOTS 存放區的根憑證。
