如何使用 vSphere Certificate Manager 替换 SSL 证书
search cancel

如何使用 vSphere Certificate Manager 替换 SSL 证书

book

Article ID: 322011

calendar_today

Updated On:

Products

VMware vCenter Server

Issue/Introduction

本文介绍了何时及如何在 vSphere 6.x 和 7.x 中使用 vSphere Certificate Manager。

使用 vSphere Certificate Manager:

vSphere Certificate Manager 可用于:

实施默认证书(使用选项 4 或 8):

  • 未计划实施由企业 CA(如 Microsoft Windows CA)或商业 CA(Verisign、GoDaddy 等)签名的自定义 CA 证书时,可以使用此选项。
  • 在此环境中,vSphere 证书由 VMCA 生成和颁发,并由 vSphere Endpoint Certificate Store (VECS) 存储。
  • 默认情况下,这些证书在 vSphere 之外不受信任。
  • 如果计算机 SSL 和解决方案用户证书已过期,请使用选项 8(重置证书)替换证书

将 VMCA 证书替换为自定义 CA 证书(使用选项 2):

  • 在此环境中,将默认的 VMCA 证书和密钥替换为来自企业 CA(如 Microsoft Windows CA)或商业 CA(Verisign、GoDaddy 等)的自定义 CA 证书和密钥。
  • 然后 VMCA 将用于生成新 vSphere 证书,这些证书将由以前导入的自定义 CA 证书和密钥签署。
  • 由 VMCA 颁发的这些证书在 vSphere 之外受信任。
     

将所有 vSphere 证书和密钥替换为自定义 CA 证书和密钥(使用选项 5):

  • 在此环境中,将计算机证书和所有的解决方案用户证书替换为由企业 CA(如 Microsoft Windows CA)或商业 CA(Verisign、GoDaddy 等)签名的自定义 CA 证书。
  • VMCA 不负责颁发这些证书。

请注意,在 vSphere 7.x 中,可以通过 vCenter 用户界面执行步骤 1 和 2。


Symptoms:
免责声明: 本文为 How to use vSphere Certificate Manager to Replace SSL Certificates 的翻译版本。 尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。 有关最新内容,请参见英文版本。

Environment

VMware vCenter Server 7.0.x
VMware vCenter Server Appliance 6.5.x
VMware vCenter Server 6.5.x
VMware vCenter Server 6.7.x
VMware vCenter Server Appliance 6.7.x

Resolution

更新计算机 SSL 证书或生成证书签名请求的过程:

注意:在 vSphere vCenter 7.x 的用户界面中,可以通过以下方法更新计算机 SSL 证书或生成证书签名请求:转到
  • 菜单 > 系统管理 > 证书 > 证书管理
计算机 SSL 证书部分中,选择操作下拉菜单。
有关详细信息,请参阅:Managing Certificates with the vSphere Client

注意:在 Windows 中,如果启用了用户访问控制,您必须以管理员身份登录或者“以管理员身份运行”。

要启动 vSphere Certificate Manager,请执行以下命令:
  • vCenter Server(Windows 版本):C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
  • vCenter Server Appliance:/usr/lib/vmware-vmca/bin/certificate-manager
运行 certificate-manager 命令时,将为您提供 8 个选项,分别如适用于 Windows 和设备的屏幕截图所示。


certificate-manager - 适用于 Windows 的 8 个选项
certificate-manager - 适用于设备的 8 个选项

选项详细信息:

选项编号详细信息所需信息
1将计算机 SSL 证书替换为自定义 CA 证书
计算机 SSL 证书提供了一个子选项,用于为计算机 SSL 证书生成证书签名请求和密钥。
  • [email protected] 密码。
  • 指向计算机证书的自定义证书和密钥的路径。
  • 指向 VMCA Root 的自定义证书的路径
2将 VMCA 根证书替换为自定义 CA 签名证书,并替换所有证书。

此选项提供了一个子选项,用于为 VMCA 根签名证书生成证书签名请求和密钥。
  • [email protected] 密码

  • 配置位于 /usr/lib/vmware-vmca/share/config/certool.cfg 的 certool.cfg 文件(在生成证书时由 VMCA 使用)

  • 根签名证书

  • 根签名密钥


可选信息:

是否要将所有的解决方案用户证书替换为自定义 CA?

  • 是:指向解决方案用户(vpxd、vpxd-extension、vsphere-webclient、machine)的自定义证书和密钥的路径。

注意:稍后也可以使用选项 5 执行此步骤。

  • 否:VMCA 将使用提供的自定义 CA 签名证书为解决方案用户生成新的证书/密钥。

注意:稍后也可以使用选项 6 执行此步骤。 

是否要将计算机 SSL 证书替换为自定义 CA?

  • 是:指向计算机证书的自定义证书和密钥的路径。

注意:稍后也可以使用选项 1 执行此步骤。

  • 否:VMCA 将使用提供的自定义 CA 签名证书为计算机生成新的证书/密钥。

注意:稍后也可以使用选项 3 执行此步骤。

3将计算机 SSL 证书替换为 VMCA 生成的证书
  • [email protected] 密码
  • 配置 certool.cfg 文件(在生成证书时由 VMCA 使用)
4重新生成新的默认 VMCA Root 证书,并替换所有证书
  • [email protected] 密码
  • 配置 certool.cfg 文件(在生成证书时由 VMCA 使用)
5将解决方案用户证书替换为自定义 CA 证书
  • [email protected] 密码
  • 指向自定义根 CA 证书的路径
  • 指向 vpxd 解决方案用户的自定义证书和密钥的路径
  • 指向 vpxd-extension 解决方案用户的自定义证书和密钥的路径
  • 指向 vSphere-webclient 解决方案用户的自定义证书和密钥的路径
  • 指向 machine 解决方案用户的自定义证书和密钥的路径
  • vCenter Server 为 7.0)指向 hvc & wcp 解决方案用户的自定义证书和密钥的路径
6将解决方案用户证书替换为 VMCA 生成的证书
7通过重新发布旧证书恢复上次执行的操作
8重置所有证书
  • [email protected] 密码
  • 配置 certool.cfg 文件(在生成证书时由 VMCA 使用)

注意:Certool.cfg 位于:
  • C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg
  • 配置文件在 vCenter Server Appliance 和 Platform Services Controller 设备(外部 PSC)中的位置:
    • vCenter Server Appliance:/usr/lib/vmware-vmca/share/config/certool.cfg
    • 外部 Platform Services Controller 设备:/usr/lib/vmware-vmca/share/config/certool.cfg
certool.cfg 的默认配置应类似以下屏幕截图:

certool.cfg 的默认配置

Additional Information

注意:当前,vCenter Server 仅与 VMCA 集成。vSphere Certificate Manager 和 VMCA 不能用于向任何其他产品颁发证书。
 
日志文件位置:
  • vSphere Certificate Manager 将 certificate-manager.log 文件存储在以下位置:
    • Windows vCenter Server 6.x:C:\ProgramData\VMware\vCenterServer\logs\vmca\certificate-manager.log
    • vCenter Server Appliance 6.x/7.x:/var/log/vmware/vmcad/certificate-manager.log
       
  • certool.cfg 文件位于:

    C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg
  • vCenter Server Appliance 和 Platform Services Controller 设备中的配置文件位置:
    • vCenter Server Appliance:/usr/lib/vmware-vmca/share/config/certool.cfg
    • Platform Services Controller 设备:/usr/lib/vmware-vmca/share/config/certool.cfg
有关本文的翻译版本,请参见: