book
Article ID: 338158
calendar_today
Updated On:
Issue/Introduction
免责声明:本文为
Configuring certificates for Windows Platform Services Controller for High Availability in vSphere 6.55 (2147626) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。
本文介绍如何创建要在配置 Platform Services Controller 高可用性的过程中使用的证书。
Environment
VMware vCenter Server Appliance 6.5.x
Resolution
本文是配置 PSC HA 的一系列文章的一部分。有关主要文章,请参见 Configuring Platform Service Controller HA in vSphere 6.5 (2147018)。
创建证书请求
- 连接到 vCenter Server 或 Platform Services Controller。
- 创建 C:\certs\ 文件夹。
- 使用纯文本编辑器创建包含以下条目的 psc_ha_csr_cfg.cfg 文件:
[ req ]
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = DNS:psc-ha-a1.domain.com, DNS:psc-ha-a2.domain.com, DNS:psc-ha-vip.domain.com
[ req_distinguished_name ]
countryName =Country
stateOrProvinceName =State
localityName =City
0.organizationName =Company
organizationalUnitName =Department
commonName =psc-ha-vip.domain.com
注意:
- subjectAltName 值应当包含将加入此 HA 站点的所有 PSC FQDN,包括负载平衡 FQDN。
- commonName 值应当是负载平衡 FQDN。
- 打开提升的命令提示符。
- 运行以下命令以创建psc-ha-vip.csr和psc-ha-vip.key文件。
"%VMWARE_OPENSSL_BIN%"openssl req -new -nodes -out /certs/psc-ha-vip.csr -newkey rsa:2048 -keyout /certs/psc-ha-vip.key -config /certs/psc_ha_csr_cfg.cfg
注意:使用 rsa:2048 创建密钥长度为 2048 位的专用密钥。此值可以增大,2048 是支持的最小密钥长度。
通过 VMCA 生成证书
- 运行以下命令,以通过 psc-ha-vip.csr 和输出 psc-ha-vip.crt 文件的 psc_ha_csr_cfg.cfg 文件创建证书。
"%VMWARE_OPENSSL_BIN%"openssl.exe x509 -req -days 3650 -in C:\certs\psc-ha-vip.csr -out C:\certs\psc-ha-vip.crt -CA <path>root.cer -CAkey <path>privatekey.pem -extensions v3_req -CAcreateserial -extfile C:\certs\psc_ha_csr_cfg.cfg
- 运行以下命令,以复制当前的 VMCA root 证书并将其重命名为 cachain.crt。
more C:\certs\root.cer >> C:\certs\cachain.crt
- 运行以下命令,以创建包含新创建的证书和名为 psc-ha-vip-chain.crt 的 VMCA root 证书的计算机 SSL 证书。
more C:\certs\psc-ha-vip.crt >> C:\certs\psc-ha-vip-chain.crt
more C:\certs\cachain.crt >> C:\certs\psc-ha-vip-chain.crt
通过外部证书颁发机构生成证书
- 向首选的证书颁发机构提供在前面步骤中生成的证书签名请求。有关详细信息,请参见 Obtaining vSphere certificates from a Microsoft Certificate Authority (2112014)。
- 运行以下命令,以使用 Root CA、计算机 SSL 证书和任何中间 CA 创建名为psc-ha-vip-chain.crt的证书链。
注意:可能不需要添加 CustomInterCA#.crt,具体取决于证书服务器配置。
more C:\certs\psc-ha-vip.crt >> C:\certs\psc-ha-vip-chain.crt
more C:\certs\CustomInterCA1.crt >> C:\certs\psc-ha-vip-chain.crt
more C:\certs\CustomInterCA2.crt >> C:\certs\psc-ha-vip-chain.crt
more C:\certs\CustomRootCA.crt >> C:\certs\psc-ha-vip-chain.crt
- 如果具有中间证书,请运行以下命令创建中间证书和 root 证书的 cachain.crt。
more C:\certs\CustomInterCA1.crt >> C:\certs\cachain.crt
more C:\certs\CustomInterCA2.crt >> C:\certs\cachain.crt
more C:\certs\CustomRootCA.crt >> C:\certs\cachain.crt
准备证书
应当已经创建了三个证书 - psc-ha-vip-chain.crt
- psc-ha-vip.key
- cachain.crt
验证证书信息
- 运行以下命令以打开证书:
"%VMWARE_OPENSSL_BIN%"openssl.exe x509 -in C:\certs\psc-ha-vip-chain.crt -noout -text
- 确保 Subject CN 值是正确的负载平衡 FQDN。
- 确保DNS值包含所有 PSC FQDN 和负载平衡器 FQDN。
替换 Platform Services Controller 上的证书
- 使用以下命令启动证书管理器:
C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
- 依次选择“选项 1”和“选项 2”。
- 提供在“准备证书”部分创建的 psc-ha-vip-chain.crt、psc-ha-vip.key 和 cachain.crt 文件的路径。
例如:
Please provide valid custom certificate for Machine SSL.
File : C:\certs\psc-ha-vip-chain.crt
Please provide valid custom key for Machine SSL.
File : C:\certs\psc-ha-vip.key
Please provide the signing certificate of the Machine SSL certificate
File : C:\certs\cachain.crt
Important: Replace the Machine SSL Certificate of the additional PSC using the same certificate.