在 vCenter Server 5.5 中为 vSphere Web Client 和日志浏览器配置 CA 签名的 SSL 证书
search cancel

在 vCenter Server 5.5 中为 vSphere Web Client 和日志浏览器配置 CA 签名的 SSL 证书

book

Article ID: 341959

calendar_today

Updated On:

Products

VMware vCenter Server VMware vSphere ESXi

Issue/Introduction

免责声明:本文为 Configuring CA signed SSL certificates for the vSphere Web Client and Log Browser in vCenter Server 5.5 (2061975) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。

注意:本文只适用于 vSphere 5.5。如果使用的是 vSphere 5.1,请参见 Configuring CA signed SSL certificates for the vSphere Web Client and Log Browser in vCenter Server 5.1 (2035010)。如果使用的是 vSphere 5.0,请参见 Implementing CA signed SSL certificates with vSphere 5.0 (2015383)

本文将指导您完成为 vSphere 5.5 Web Client 和日志浏览器配置证书颁发机构 (CA) 证书的过程。VMware 已发布了可用于自动执行下述过程中的多数操作的工具。在执行本文中的步骤之前,请先参见 Deploying and using the SSL Certificate Automation Tool 5.5 (2057340)
在无法使用该工具的情况下,本文将帮助您消除证书实施过程中出现的问题的常见原因,包括配置步骤和详细信息,并可避免在您环境中实施自定义证书时出现常见的错误配置。


Environment

VMware vSphere Web Client 5.5.x
VMware vCenter Server 5.5.x

Resolution

注意:本文是解决方法路径的组成部分。在执行本文中的步骤之前,请先参见 Implementing CA signed SSL certificates with vSphere 5.x (2034833)

为 vSphere 创建 CA 分配的证书是一项复杂的任务。在许多组织中,需要维持适当的安全性以符合法规要求。成功实施这项任务需要执行几个不同的工作流:

  • 创建证书请求
  • 获取证书
  • 在 vSphere Web Client 和 Log Browser 中安装和配置证书

您必须执行这些步骤,确保成功实施 vCenter Server 的自定义证书。在尝试执行这些步骤之前,请确保:

注意:如果 Web Client 位于单独的计算机上,您需要使用颁发 SSO 证书的发行证书链手动更新C:\ProgramData\VMware\SSL中的ca_certificates.crt文件。

为 vSphere Web Client 和日志浏览器安装和配置证书

创建证书后,可执行以下步骤为 Web Client 安装和配置此证书:
  1. 以管理员身份登录到 vSphere Web Client 服务器。
  2. 如果您尚未导入证书,请双击C:\certs\Root64.cer文件,将证书导入到Trusted Root Certificate Authorities > Local ComputerWindows 证书存储中。这样可以确保证书服务器受信任。
  3. 从服务控制管理器 (services.msc) 停止 VMware vSphere Web Client 服务。
  4. 从服务控制管理器 (services.msc) 停止 VMware Log Browser 服务。
  5. 备份 vSphere Web Client 的当前证书(rui.crtrui.keyrui.pfx)。默认情况下,这些证书的位置如下:

    C:\ProgramData\VMware\vSphere Web Client\ssl\

  6. 将新证书文件复制到此目录。如果遵循此解析路径,则这些证书位于C:\certs\WebClient中。
  7. 备份日志浏览器的当前证书。默认情况下,这些证书的位置如下:

    C:\Program Files\VMware\Infrastructure\vSphereWebClient\logbrowser\conf

  8. 将新证书文件(rui.crtrui.keyrui.pfx)复制到此目录。如果遵循此解析路径,则这些证书位于C:\certs\logbrowser中。
  9. 在命令提示符中运行以下命令:

    set JAVA_HOME=C:\Program Files\Common Files\VMware\VMware vCenter Server - Java Components

  10. 导航到SsoRegTool目录。默认情况下,此目录位于以下位置:

    C:\Program Files\VMware\Infrastructure\vSphereWebClient\SsoRegTool\

  11. 通过运行以下命令从 SSO 取消注册 vSphere Web Client 服务:

    注意:regTool.cmd文件中的unregisterService命令区分大小写。

    regTool.cmd unregisterService -si "Installation_Directory\vSphereWebClient\serviceId" -d https://SSOServer.domain.com:7444/lookupservice/sdk -u [email protected] -ppassword

    其中:
    • Installation_Directory默认为C:\Program Files\VMware\Infrastructure
    • password [email protected]密码

    如果命令运行成功,您将看到类似下文的输出:



  12. 将 VMware vSphere Web Client 重新注册到 vCenter Single Sign-On 中:

    注意:regTool.cmd文件中的registerService命令区分大小写。

    regTool.cmd registerService --cert "C:\ProgramData\VMware\vSphere Web Client\ssl" --ls-url https://SSOServer.domain.com:7444/lookupservice/sdk --username [email protected] --passwordpassword--dir "Installation_Directory\vSphereWebClient\SsoRegTool\sso_conf" --ip "*.*" --serviceId-file "Installation_Directory\vSphereWebClient\serviceId"

    其中:
    • Installation_Directory默认为 C:\Program Files\VMware\Infrastructure
    • password[email protected]密码

    如果命令运行成功,您将看到类似下文的输出:



  13. 使用文本编辑器打开Installation_Directory\vSphereWebClient\serviceId文件并移除两个旧的服务行。在此示例中,旧行以6d27149ae1结尾(如步骤 11 中的屏幕截图所示),而新行以3bfc4和ba9f2结尾(如步骤 12 中的屏幕截图所示)。文件中应只有这两行,与步骤 12 的屏幕截图中的已注册服务相对应。

    编辑之前,文件内容类似于:



    编辑之后,文件内容类似于:



  14. 从服务控制管理器启动 VMware vSphere Web Client 服务。可能需要 5 分钟时间以完全初始化。
  15. 从服务控制管理器启动 VMware vSphere Log Browser 服务。
  16. 要测试证书是否有效,请登录到 vSphere Web Client,并检查是否可访问清单以及是否已正确安装证书。
  17. 如果服务位于不同服务器上,或无法重新启动该服务器,请按以下顺序停止并启动这些服务:

    • 停止 VMware Log Browser 服务。
    • 停止 VMware vSphere Web Client 服务
    • 停止 VMware VirtualCenter Server 服务
    • 停止 VMware vCenter Inventory Service
    • 停止 VMware 安全令牌服务
    • 停止 VMware Identity Management 服务
    • 停止 VMware 证书服务
    • 停止 VMware Kdc 服务
    • 停止 VMware 目录服务
    • 启动 VMware 目录服务
    • 启动 VMware Kdc 服务
    • 启动 VMware 证书服务
    • 启动 VMware Identity Management 服务
    • 启动 VMware 安全令牌服务
    • 启动 VMware vCenter Inventory Service
    • 启动 VMware VirtualCenter Server 服务和 VMware VirtualCenter Management WebServices 服务
    • 启动 VMware vSphere Web Client 服务。
    • 启动 VMware Log Browser 服务。

  18. 等待 5 分钟以便这些服务完全启动。
  19. 登录并检查 Log Browser 是否正常运行。

    注意:如果服务未完全启动,则不会显示日志浏览器选项。在几分钟后注销并再次登录。完全加载后将可使用此选项。

针对 vSphere Web Client 和 Log Browser 的自定义证书配置现已完成。您可以继续为 vSphere Update Manager 安装自定义证书。有关详细信息,请参见 Configuring CA signed SSL certificates for vSphere Update Manager in vCenter Server 5.1 and 5.5(2037581)


Additional Information

Configuring CA signed SSL certificates for the vSphere Web Client and Log Browser in vCenter Server 5.5