收到自訂憑證後,您可以取代每個機器憑證。

在開始取代憑證之前,您必須準備好下列資訊:
  • [email protected] 的密碼
  • 有效的機器 SSL 自訂憑證 (.crt 檔案)
  • 有效的機器 SSL 自訂金鑰 (.key 檔案)
  • 有效的自訂根憑證 (.crt 檔案)

必要條件

您一定已收到第三方或企業 CA 核發給每台機器的憑證。

  • 金鑰大小:2048 位元 (下限) 至 16384 位元 (上限) (PEM 編碼)
  • CRT 格式
  • x509 第 3 版
  • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
  • 包含下列金鑰使用方法:數位簽章、金鑰編密

程序

  1. 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  2. 登入每個節點,並將從 CA 收到的新機器憑證新增到 VECS 中。
    所有機器都需要使用本機憑證存放區中的新憑證,以透過 SSL 進行通訊。 
    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>
  3. 更新 Lookup Service 登錄端點。 
    /usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user '[email protected]' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>
  4. 重新啟動所有服務。 
    service-control --start --all