從 CA 收到簽署憑證並將其用做 VMCA 根憑證之後,您可以取代所有機器 SSL 憑證。
這些步驟與取代使用 VMCA 做為憑證授權機構之憑證的步驟基本相同。不過,在此情況下,VMCA 會簽署所有具有完整鏈結的憑證。
每台機器必須具有機器 SSL 憑證,以便與其他服務進行安全通訊。在增強型連結模式組態中連線多個 vCenter Server 執行個體時,必須在每個節點上執行機器 SSL 憑證產生命令。
必要條件
對於每個機器 SSL 憑證,SubjectAltName 必須包含 DNS Name=<Machine FQDN>。
程序
範例: 取代機器 SSL 憑證 (VMCA 為中繼 CA)
- 為 SSL 憑證建立組態檔,命名為 ssl-config.cfg 並儲存於當前目錄中。
Country = US Name = vmca-<FQDN-example> Organization = VMware OrgUnit = VMware Engineering State = California Locality = Palo Alto Hostname = <FQDN>
- 為機器 SSL 憑證產生金鑰配對。在增強型連結模式組態中連線的多個 vCenter Server 執行個體的部署中,請在每個 vCenter Server 節點上執行此命令。
/usr/lib/vmware-vmca/bin/certool --genkey --privkey=ssl-key.priv --pubkey=ssl-key.pub
ssl-key.priv 和 ssl-key.pub 檔案會在當前目錄中建立。
- 產生新的機器 SSL 憑證。此憑證是由 VMCA 簽署的。如果您將 VMCA 根憑證取代為自訂憑證,VMCA 會簽署所有具有完整鏈結的憑證。
/usr/lib/vmware-vmca/bin/certool --gencert --cert=new-vmca-ssl.crt --privkey=ssl-key.priv --config=ssl-config.cfg
new-vmca-ssl.crt 檔案會在當前目錄中建立。
- (選用) 列出 VECS 的內容。
/usr/lib/vmware-vmafd/bin/vecs-cli store list
- vCenter Server 的輸出範例:
output (on vCenter): MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine vsphere-webclient vpxd vpxd-extension hvc data-encipherment APPLMGMT_PASSWORD SMS wcp KMS_ENCRYPTION
- vCenter Server 的輸出範例:
- 將 VECS 中的機器 SSL 憑證取代為新的機器 SSL 憑證。--store 和 --alias 值必須與預設名稱完全相符。
- 在每個 vCenter Server 上,執行下列命令以更新 MACHINE_SSL_CERT 存放區中的機器 SSL 憑證。您必須為每台機器個別更新憑證,因為每台機器的 FQDN 都不相同。
/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT /usr/lib/vmware-vmafd/bin/vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert new-vmca-ssl.crt --key ssl-key.priv
- 在每個 vCenter Server 上,執行下列命令以更新 MACHINE_SSL_CERT 存放區中的機器 SSL 憑證。您必須為每台機器個別更新憑證,因為每台機器的 FQDN 都不相同。
