可以使用 CLI 將 vCenter Server STS 憑證取代為自訂產生的憑證或第三方憑證。
若要使用公司要求的憑證或更新即將到期的憑證,您可以取代現有的 STS 簽署憑證。若要取代預設的 STS 簽署憑證,您必須先產生新的憑證。
STS 憑證不是對外憑證。除非貴公司的安全性原則需要,否則請勿取代此憑證。
注意: 您必須使用此處所述的程序。請勿直接取代檔案系統中的憑證。
程序
- 以根使用者身分登入 vCenter Server Shell。
- 建立憑證。
- 建立頂層目錄以存放新憑證,並確認目錄的位置。
mkdir newsts
cd newsts
pwd
#resulting output: /root/newsts
- 將 certool.cfg 檔案複製到新目錄。
cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
- 使用諸如 Vim 等命令列編輯器,開啟 certool.cfg 檔案的複本,然後對其進行編輯以使用本機 vCenter Server IP 位址和主機名稱。國家/地區是必要的,並且必須是兩個字元,如以下範例所示。
#
# Template file for a CSR request
#
# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local
- 產生金鑰。
/usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
- 產生憑證。
/usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
- 建立具有憑證鏈結和私密金鑰的 PEM 檔案。
cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
- 更新 STS 簽署憑證,例如:
/opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
- 重新啟動 vCenter Server 系統以及增強型連結模式組態中的任何其他 vCenter Server 系統。請參閱vCenter Server 組態說明文件中有關如何將 vCenter Server 重新開機的主題。
若要使驗證正常運作,必須重新啟動
vCenter Server。STS 服務和
vSphere Client 都將重新啟動。
