注意:本文是解决方法路径的组成部分。在执行本文中的步骤之前,请参见
Implementing CA signed SSL certificates with vSphere 5.x (2034833)。
为 vSphere 创建 CA 分配的证书是一项复杂的任务。在许多组织中,需要维持适当的安全性以符合法规要求。成功实施这项任务需要执行几个不同的工作流:
- 创建证书请求
- 获取证书
- 在 vSphere Web Client 和日志浏览器中安装和配置证书
您必须执行这些步骤,确保成功实施 vCenter Server 的自定义证书。在尝试这些步骤之前,请确保以下事项:
在 vSphere Web Client 和日志浏览器中安装和配置证书
创建证书后,按照以下步骤操作以完成 Web Client 证书的安装和配置:
- 以管理员身份登录到 vSphere Web Client 服务器。
- 如果尚未导入,双击
C:\certs\Root64.cer
文件并将证书导入到受信任根证书授权机构 > 本地计算机
Windows 证书存储区中。这样可以确保证书服务器受信任。 - 从服务控制管理器 (
services.msc
) 停止 VMware vSphere Web Client 服务。 - 从服务控制管理器 (
services.msc
) 停止 VMware 日志浏览器服务。 - 将当前证书(rui.crt、rui.key、rui.pfx)移至 vSphere Web Client 的备份位置。
默认情况下,这些证书位于以下位置: -
Windows 2008 - C:\ProgramData\VMware\vSphere Web Client\ssl\
-
Windows 2003 - C:\Documents and Settings\All Users\Application Data\VMware\vSphere Web Client\ssl
-
将新证书文件复制到此目录。如果遵循此解决方法路径,则证书位于 C:\certs\WebClient
中。
- 将当前证书(
rui.crt
、rui.key
、rui.pfx
)移至 logbrowser 的备份位置。默认情况下,这些证书位于以下位置:
C:\Program Files\VMware\Infrastructure\vSphereWebClient\logbrowser\conf
- 将新证书文件(
rui.crt
、rui.key
、rui.pfx
)复制到此目录。如果遵循此解决方法路径,则证书位于 C:\certs\logbrowser
中。 - 在命令提示符下运行以下命令:
set JAVA_HOME=
c:\Program Files\VMware\Infrastructure\JRE
- 导航到
SsoRegTool
目录。此目录的默认位置为:
C:\Program Files\VMware\Infrastructure\vSphereWebClient\SsoRegTool\
- 通过运行以下命令从 SSO 取消注册 vSphere Web Client 服务:
注意:regTool.cmd
文件中的 unregisterService
命令区分大小写。
regTool.cmd unregisterService -si "Installation_Directory\vSphereWebClient\serviceId" -d https://SSOServer.domain.com:7444/lookupservice/sdk -u admin@System-Domain -p password
其中: Installation_Directory
默认情况下为 C:\Program Files\VMware\Infrastructure
password
是 admin@system-domain
密码
如果该命令成功,则会显示类似于以下内容的输出:
![](https://api-broadcomcms-software.wolkenservicedesk.com/attachment/get_attachment_content?uniqueFileId=1512263159650)
- 将 VMware vSphere Web Client 注册回到 vCenter Single Sign-On 中:
注意:regTool.cmd
文件中的 registerService
命令区分大小写。
- 在 Windows 2008 上,运行以下命令:
regTool.cmd registerService --cert "C:\ProgramData\VMware\vSphere Web Client\ssl" --ls-url https://SSOServer.domain.com:7444/lookupservice/sdk --username admin@System-Domain --password password --dir "Installation_Directory\vSphereWebClient\SsoRegTool\sso_conf" --ip "*.*" --serviceId-file "Installation_Directory\vSphereWebClient\serviceId"
- 在 Windows 2003 上,运行以下命令:
regTool.cmd registerService --cert "C:\Documents and Settings\All Users\Application Data\VMware\vSphere Web Client\ssl" --ls-url https:// SSOServer.domain.com:7444/lookupservice/sdk --username admin@System-Domain --password password --dir "Installation_Directory\vSphereWebClient\SsoRegTool\sso_conf" --ip "*.*" --serviceId-file "Installation_Directory\vSphereWebClient\serviceId"
其中: Installation_Directory
默认情况下为 C:\Program Files\VMware\Infrastructure
password
是 admin@system-domain
密码
如果该命令成功,则会显示类似于以下内容的输出:
![](https://api-broadcomcms-software.wolkenservicedesk.com/attachment/get_attachment_content?uniqueFileId=1512263922504)
- 在文本编辑器中打开
Installation_Directory\vSphereWebClient\serviceId
文件,然后移除两个旧的服务行。在此示例中,旧行以 :9
和 :10
结尾(如步骤 11 中的屏幕截图所示),而新行以 :14
和 :15
结尾(如步骤 12 中的屏幕截图所示)。文件中应只有这两行,与步骤 12 的屏幕截图中的已注册服务相对应。
编辑之后,文件内容类似于:
![](https://api-broadcomcms-software.wolkenservicedesk.com/attachment/get_attachment_content?uniqueFileId=1512266822170)
- 从服务控制管理器启动 VMware vSphere Web Client 服务。可能需要 5 分钟时间以完全初始化。
- 从服务控制管理器启动 VMware vSphere 日志浏览器服务。
- 要测试证书是否有效,请登录到 vSphere Web Client,并检查是否可访问清单以及是否已正确安装证书。
- 如果服务位于不同服务器上,或无法重新启动该服务器,请按以下顺序停止并启动这些服务:
- 停止 VMware 日志浏览器服务。
- 停止 VMware vSphere Web Client 服务
- 停止 VMware VirtualCenter Server 服务
- 停止 VMware vCenter Inventory Service
- 停止 vCenter Single Sign-On 服务
- 启动 vCenter Single Sign-On 服务
- 启动 VMware vCenter Inventory Service
- 启动 VMware VirtualCenter Server 服务和 VMware VirtualCenter Management WebServices 服务
- 启动 VMware vSphere Web Client 服务。
- 启动 VMware 日志浏览器服务。
- 等待 5 分钟以便这些服务完全启动。
- 登录并检查日志浏览器是否正常运行。
注意:如果服务未完全启动,则不会显示日志浏览器选项。在几分钟后注销并再次登录。完全加载后将可使用此选项。
针对 vSphere Web Client 和日志浏览器的自定义证书配置现已完成。接下来,继续为 vSphere Update Manager 安装自定义证书。有关详细信息,请参见
Implementing CA signed SSL certificates with vSphere 5.x (2034833)。