替换 vCenter Update Manager 的 SSL 证书时不会替换端口 9087 上 Update Manager 使用的证书
Article ID: 344325
Updated On:
Products
VMware vCenter Server
VMware vSphere ESXi
Issue/Introduction
Symptoms:
免责声明:本文为 Replacing the SSL certificate for vCenter Update Manager does not replace the certificate used by Update manager on Port 9087 (2045931) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。
免责声明:本文为 Replacing the SSL certificate for vCenter Update Manager does not replace the certificate used by Update manager on Port 9087 (2045931) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。
- 使用 Update Manager 实用程序替换 Update Manager 的 SSL 证书时,不会替换端口 9087 上使用的证书。
注意:有关详细信息,请参见:
- vCenter Server 5.0 和 4.x:Replacing SSL certificates for VMware vCenter Update Manager by using the Update Manager Utility (1023011)。
- vCenter Server 5.1 和 5.5:Configuring CA signed SSL certificates for vSphere Update Manager in vCenter Server 5.1 and 5.5(2037581)
- 端口 9087 使用默认 VMware 证书。
Environment
VMware vSphere Update Manager 5.5.x
VMware vCenter Update Manager 4.1.x
VMware vSphere Update Manager 5.1.x
VMware vSphere Update Manager 5.0.x
VMware vCenter Update Manager 4.1.x
VMware vSphere Update Manager 5.1.x
VMware vSphere Update Manager 5.0.x
Resolution
Update Manager 中的端口 9087 用于发送 Jetty 会话 ID 以及导入脱机包或升级版本文件。
必备条件:
- 需要在运行 VMware Update Manager 的计算机上安装 OpenSSL(可从 Welcome to the OpenSSL Project 获取)。
注意:截至 2015 年 4 月 6 日,上述链接正确无误。如果您发现链接已损坏,请提供反馈,VMware 员工会更新该链接。
- 用于替换默认证书的 CA 提供/自定义证书(.crt和.key文件)。
要替换证书,请执行以下步骤:
- 备份 Update Manager 安装目录中的 SSL 文件夹。
64 位 Windows 中的默认路径为 C:\Program Files (x86)\VMware\Infrastructure\Update Manager\SSL - 停止 vSphere Updated Manager 服务。有关详细信息,请参见 Stopping, starting, or restarting the vSphere Update Manager service (1039328)。
- 在文本编辑器中打开 C:\Program Files (x86)\VMware\Infrastructure\Update Manager\jetty-vum-ssl.xml 文件。
- 记录以<Set name="Password">开头且以</Set>结尾的字符串信息。
例如:
<Set name="Password">OBF:1vu51xg31sw41zen1svu1xez1vv5</Set>
- 下载附加的 .zip文件,并将.jar文件提取到 C:\Program Files (x86)\VMware\Infrastructure\Update Manager\jre\bin\
- 通过单击开始 > 运行并键入cmd,然后按Enter打开命令提示符。
- 从命令提示符中,将目录更改为:C:\Program Files (x86)\VMware\Infrastructure\Update Manager\jre\bin
- 使用在步骤 4 中收集的信息运行以下命令:
java -jar jetty_deobfuscate.jar keystore_password
例如:
java -jar jetty_deobfuscate.jarOBF:1vu51xg31sw41zen1svu1xez1vv5
- 复制该输出供以后使用。
- 从命令提示符中,更改为 OpenSSL 的安装目录
注意:默认为 C:\OpenSSL-Win32\bin
- 运行以下命令,通过替换.crt和.key文件创建.p12文件:
openssl pkcs12 -export -incrt_file_location-inkeykey_file_location-outp12_file_path\keyname.p12 -name vum-jetty
- 出现提示时,输入步骤 8 中的密码。
- 完成后,将目录更改为:C:\Program Files (x86)\VMware\Infrastructure\Update Manager\jre\bin
- 要验证密码,请运行以下命令:
keytool -list -storepasskeystore_password-keystore ..\..\SSL\vmware-vum.keystore
注意:使用在步骤 8 中收集的密码
- 该输出应该包含两个别名条目,一个用于 vum-server,另一个用于vum-jetty。
- 要删除 vum-jetty 别名,请运行以下命令:
keytool -delete -alias vum-jetty -storepasskeysore_password-keystore ..\..\SSL\vmware-vum.keystore
- 在步骤 14 中运行命令时,确认只有一个用于vum-server的条目。
- 运行以下命令,导入 vum-jetty 别名:
keytool -importkeystore -srckeystorep12_file_path-srcstoretype PKCS12 -destkeystore ..\..\SSL\vmware-vum.keystore -storepasskeystore_password
- 出现提示时,输入密钥库密码。
- 运行以下命令,确认当前有两个条目:
keytool -list -storepasskeystore_password-keystore ..\..\SSL\vmware-vum.keystore
- 重新启动 vCenter Update Manager 服务。有关详细信息,请参见 Stopping, starting, or restarting the vSphere Update Manager service (1039328)。
- 要验证是否包含了这些证书,打开 Web 浏览器,然后导航到 https://vCenter_Update_Manager_FQDN:9087 并在出现提示时验证证书信息。
Additional Information
Feedback
Yes
No
Powered by
