搭配使用自訂憑證和 vSphere Authentication Proxy 包含多個步驟。首先產生 CSR,並將其傳送到 CA 進行簽署。然後將簽署的憑證和金鑰檔案放置在 vSphere Authentication Proxy 可存取的位置。
依預設,vSphere Authentication Proxy 在首次開機期間會產生 CSR,然後要求 VMCA 簽署該 CSR。vSphere Authentication Proxy 使用該憑證向 vCenter Server 登錄。如果您將自訂憑證新增到 vCenter Server,便可以在自己的環境中使用這些憑證。
程序
- 為 vSphere Authentication Proxy 產生 CSR。
- 建立組態檔 /var/lib/vmware/vmcam/ssl/vmcam.cfg,如下列範例所示。
[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:vcenter1.example.com
[ req_distinguished_name ]
countryName = US
stateOrProvinceName = NY
localityName = New York
0.organizationName = Example Inc.
organizationalUnitName = IT Org
commonName = vcenter1.example.com
請注意下列事項:
- subjectAltName:使用 DNS:FQDN_of_vCenter_Appliance_to_use_the_CA-signed certificate 格式。
- commonName:使用 subjectAltName 中使用的 vCenter Appliance 的同一 FQDN。
- 執行 openssl 以產生 CSR 檔案和金鑰檔案,並於組態檔中傳遞。
openssl req -new -nodes -out vmcam.csr -newkey rsa:2048 -keyout /var/lib/vmware/vmcam/ssl/rui.key -config /var/lib/vmware/vmcam/ssl/vmcam.cfg
- 備份儲存在下列位置的 rui.crt 憑證和 rui.key 檔案。
/var/lib/vmware/vmcam/ssl/rui.crt
- 解除登錄 vSphere Authentication Proxy。
- 前往 camregister 指令碼所在的 /usr/lib/vmware-vmcam/bin 目錄。
- 執行下列命令。
camregister --unregister -a VC_address -u user
user 必須是擁有
vCenter Server 管理員權限的 vCenter Single Sign-On 使用者。
- 停止 vSphere Authentication Proxy 服務。
工具 |
步驟 |
vCenter Server 組態管理介面 |
- 在網頁瀏覽器中,移至 vCenter Server 組態管理介面 (https://vcenter-IP-address-or-FQDN:5480)。
- 以 root 身分登入。
預設根密碼為部署 vCenter Server 時設定的密碼。
- 按一下服務,然後按一下 VMware vSphere Authentication Proxy.
- 按一下停止。
|
CLI |
service-control --stop vmcam
|
- 將現有的 rui.crt 憑證和 rui.key 檔案取代為從 CA 收到的檔案。
- 重新啟動 vSphere Authentication Proxy 服務。
- 使用新憑證和金鑰向 vCenter Server 明確重新登錄 vSphere Authentication Proxy。
camregister --register -a VC_address -u user -c full_path_to_rui.crt -k full_path_to_rui.key