搭配使用自訂憑證和 vSphere Authentication Proxy 包含多個步驟。首先產生 CSR,並將其傳送到 CA 進行簽署。然後將簽署的憑證和金鑰檔案放置在 vSphere Authentication Proxy 可存取的位置。

依預設,vSphere Authentication Proxy 在首次開機期間會產生 CSR,然後要求 VMCA 簽署該 CSR。vSphere Authentication Proxy 使用該憑證向 vCenter Server 登錄。如果您將自訂憑證新增到 vCenter Server,便可以在自己的環境中使用這些憑證。

程序

  1. 為 vSphere Authentication Proxy 產生 CSR。
    1. 建立組態檔 /var/lib/vmware/vmcam/ssl/vmcam.cfg,如下列範例所示。 
      [ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:dns.static-1.csl.vmware.com
[ req_distinguished_name ]
countryName = IE
stateOrProvinceName = Cork
localityName = Cork
0.organizationName = VMware
organizationalUnitName = vTSU
commonName = test-cam-1.test1.vmware.com
    2. 執行 openssl 以產生 CSR 檔案和金鑰檔案,並於組態檔中傳遞。 
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. 備份儲存在下列位置的 rui.crt 憑證和 rui.key 檔案。
    作業系統 位置
    vCenter Server Appliance /var/lib/vmware/vmcam/ssl/rui.crt
    vCenter Server Windows C:\ProgramData\VMware\vCenterServer\data\vmcamd\ssl\rui.crt
  3. 解除登錄 vSphere Authentication Proxy。
    1. 前往 camregister 指令碼所在的目錄。
      作業系統 命令
      vCenter Server Appliance /usr/lib/vmware-vmcam/bin
      vCenter Server Windows C:\Program Files\VMware\vCenter Server\vmcamd
    2. 執行下列命令。 
      camregister --unregister -a VC_address -u user
      user 必須是擁有 vCenter Server 管理員權限的 vCenter Single Sign-On 使用者。
  4. 停止 vSphere Authentication Proxy 服務。
    工具 步驟
    vCenter Server Appliance 管理介面 (VAMI)
    1. 在網頁瀏覽器中,前往 vCenter Server Appliance 管理介面 (https:// appliance-IP-address-or-FQDN:5480)。
    2. 以 root 身分登入。

      預設根密碼為部署 vCenter Server Appliance 時設定的密碼。

    3. 按一下服務,然後按一下 VMware vSphere Authentication Proxy 服務
    4. 按一下停止
    vSphere Web Client
    1. 選取管理,然後在部署下按一下系統組態
    2. 按一下服務,按一下 VMware vSphere Authentication Proxy 服務,然後按一下紅色的停止服務圖示。
    CLI 
    service-control --stop vmcam
  5. 將現有的 rui.crt 憑證和 rui.key 檔案取代為從 CA 收到的檔案。
  6. 重新啟動 vSphere Authentication Proxy 服務。
  7. 使用新憑證和金鑰向 vCenter Server 明確重新登錄 vSphere Authentication Proxy。 
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key