本文介紹何時以及如何使用 vSphere 6.x/7.x 版本的 Certificate Manager。
vSphere Certificate Manager 可用於:
- 實施默認證書(使用選項 4)
- 未計划實施由企業 CA (如 Microsoft Windows CA) 或商業 CA(Verisign、GoDaddy 等)簽署的自定義 CA 證書時,可以使用此選項。
- 在此環境中,vSphere 證書由 VMCA 生成和頒發,並由 vSphere Endpoint Certificate Store (VECS) 存儲。
- 默認情況下,在 vSphere 之外這些證書不被信任。
- 將 VMCA 證書替換為自定義 CA 證書(使用選項 2)
- 在此環境中,將默認的 VMCA 證書和密鑰替換為來自企業 CA (如 Microsoft Windows CA) 或商業 CA(Verisign、GoDaddy 等)的自定義 CA 證書和密鑰。
- 然后 VMCA 將用於生成新 vSphere 證書,這些證書將由以前導入的自定義 CA 證書和密鑰簽署。
- 在 vSphere 之外,這些由 VMCA 頒發的證書是被信任的。
- 將所有 vSphere 證書和密鑰替換為自定義 CA 證書和密鑰(使用選項 5)
- 在此環境中,將計算機證書和所有的解決方案用戶證書替換為由企業 CA (如 Microsoft Windows CA) 或商業 CA(Verisign、GoDaddy 等)簽署的自定義 CA 證書。
- VMCA 不負責頒發這些證書。
請注意:在 vSphere 7.x 中,可以在 vCenter 用戶界面中執行步驟 1 和 2。
Resolution
注意:對於 vSphere vCenter 7.x,可以在用戶界面中通過如下路徑更新證書或生成證書簽名請求:菜單 > 管理 > 證書 > 證書管理。在 計算機 SSL 證書 部分,選擇操作 下拉菜單。
注意:在 Windows 上,如果啟用了用戶訪問控制,請務必以管理員身份登錄或“以管理員身份運行”
要啟動
vSphere Certificate Manager,請運行如下命令:
- vCenter Server(Windows 版本):C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
- vCenter Server Appliance:/usr/lib/vmware-vmca/bin/certificate-manager
運行 certificate-manager 命令時,將為您提供 8 個選項,如屏幕截圖中所示。
- 將計算機 SSL 證書替換為自定義 CA 證書。
計算機 SSL 證書提供了一個子選項,用於為計算機 SSL 證書生成證書簽名請求和密鑰。
所需信息:
- administrator@vsphere.local 密碼。
- 指向計算機證書的自定義證書和密鑰的路徑。
- 指向 VMCA Root 的自定義證書的路徑
-
將 VMCA Root 證書替換為自定義 CA 簽名證書,並替換所有證書。
提供了一個子選項,用於為 VMCA 根簽名證書生成證書簽名請求和密鑰。
所需信息:- administrator@vsphere.local 密碼
- 配置 certool.cfg 文件(VMCA 生成證書時使用)
- 根簽名證書
- 根簽名密鑰
可選信息:
- 是否要將所有的解決方案用戶證書替換為自定義 CA?
- 是:指向解決方案用戶(vpxd、vpxd-extension、vsphere-webclient、machine)的自定義證書和密鑰的路徑。
注意:稍后也可以使用選項 5 執行此步驟。- 否:VMCA 將使用提供的自定義 CA 簽名證書為解決方案用戶生成新的證書/密鑰。
注意:稍后也可以使用選項 6 執行此步驟。
- 是否要將計算機 SSL 證書替換為自定義 CA?
- 是:指向計算機證書的自定義證書和密鑰的路徑。
注意:稍后也可以使用選項 1 執行此步驟。- 否:VMCA 將使用提供的自定義 CA 簽名證書為計算機生成新的證書/密鑰。
注意:稍后也可以使用選項 3 執行此步驟。
-
將計算機 SSL 證書替換為 VMCA 生成的證書。
所需信息:
- administrator@vsphere.local 密碼
- 配置 certool.cfg 文件(VMCA 生成證書時使用)
- 重新生成新的默認 VMCA Root 證書,並替換所有證書。
所需信息:
- administrator@vsphere.local 密碼
- 配置 certool.cfg 文件(VMCA 生成證書時使用)
-
將解決方案用戶證書替換為自定義 CA 證書。
所需信息:- administrator@vsphere.local 密碼
- 指向自定義根 CA 證書的路徑
- 指向 vpxd 解決方案用戶的自定義證書和密鑰的路徑
- 指向 vpxd-extension 解決方案用戶的自定義證書和密鑰的路徑
- 指向 vSphere-webclient 解決方案用戶的自定義證書和密鑰的路徑
- 指向 machine 解決方案用戶的自定義證書和密鑰的路徑
- 將計算機 SSL 證書和解決方案用戶證書替換為 VMCA 生成的證書。
所需信息:
administrator@vsphere.local 密碼
- 通過重新發布舊證書恢復上次執行的操作。
- 重置所有證書。
所需信息:
- administrator@vsphere.local 密碼
- 配置 certool.cfg 文件(VMCA 生成證書時使用)
Related Information
- 有關實施 CA 簽名證書的詳細信息,請參見 Replacing default certificates with CA signed SSL certificates in vSphere 6.x 。
- Using certool to generate CSRs that include multiple DNS names for one host
注意: 當前,vCenter Server 僅與 VMCA 集成在一起。vSphere Certificate Manager 和 VMCA 當前不能用於向任何其他產品頒發證書。
日志文件位置:
- vSphere Certificate Manager 將 certificate-manager.log 文件存儲在 se 位置中:
- Windows vCenter Server 6.x: C:\ProgramData\VMware\vCenterServer\logs\vmca\certificate-manager.log
- vCenter Server Appliance 6.x/7.x: /var/log/vmware/vmcad/certificate-manager.log
- certool.cfg 文件的位置: C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg.:
- vCenter Server Appliance 和 Platform Services Controller 設備中的配置文件位置:
- vCenter Server Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg
- Platform Service Controller Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg