搭配使用自訂憑證和 vSphere Authentication Proxy 包含多個步驟。首先產生 CSR,並將其傳送到 CA 進行簽署。然後將簽署的憑證和金鑰檔案放置在 vSphere Authentication Proxy 可存取的位置。

依預設,vSphere Authentication Proxy 在首次開機期間會產生 CSR,然後要求 VMCA 簽署該 CSR。vSphere Authentication Proxy 使用該憑證向 vCenter Server 登錄。如果您將自訂憑證新增到 vCenter Server,便可以在自己的環境中使用這些憑證。

程序

  1. 為 vSphere Authentication Proxy 產生 CSR。
    1. 建立組態檔 /var/lib/vmware/vmcam/ssl/vmcam.cfg,如下列範例所示。
      [ req ]
      distinguished_name = req_distinguished_name
      encrypt_key = no
      prompt = no
      string_mask = nombstr
      req_extensions = v3_req
      [ v3_req ]
      basicConstraints = CA:false
      keyUsage = nonRepudiation, digitalSignature, keyEncipherment
      subjectAltName = DNS:vcenter1.example.com
      [ req_distinguished_name ]
      countryName = US
      stateOrProvinceName = NY
      localityName = New York
      0.organizationName = Example Inc.
      organizationalUnitName = IT Org
      commonName = vcenter1.example.com

      請注意下列事項:

      • subjectAltName:使用 DNS:FQDN_of_vCenter_Appliance_to_use_the_CA-signed certificate 格式。
      • commonName:使用 subjectAltName 中使用的 vCenter Appliance 的同一 FQDN。
    2. 執行 openssl 以產生 CSR 檔案和金鑰檔案,並於組態檔中傳遞。
      openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
  2. 備份儲存在下列位置的 rui.crt 憑證和 rui.key 檔案。
    /var/lib/vmware/vmcam/ssl/rui.crt
  3. 解除登錄 vSphere Authentication Proxy。
    1. 前往 camregister 指令碼所在的 /usr/lib/vmware-vmcam/bin 目錄。
    2. 執行下列命令。
      camregister --unregister -a VC_address -u user
      
      user 必須是擁有 vCenter Server 管理員權限的 vCenter Single Sign-On 使用者。
  4. 停止 vSphere Authentication Proxy 服務。
    工具 步驟
    vCenter Server 組態管理介面
    1. 在網頁瀏覽器中,移至 vCenter Server 組態管理介面 (https://vcenter-IP-address-or-FQDN:5480)。
    2. 以 root 身分登入。

      預設根密碼為部署 vCenter Server 時設定的密碼。

    3. 按一下服務,然後按一下 VMware vSphere Authentication Proxy.
    4. 按一下停止
    CLI
    service-control --stop vmcam
    
  5. 將現有的 rui.crt 憑證和 rui.key 檔案取代為從 CA 收到的檔案。
  6. 重新啟動 vSphere Authentication Proxy 服務。
  7. 使用新憑證和金鑰向 vCenter Server 明確重新登錄 vSphere Authentication Proxy。
    camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key