一、概要 在安装vmw are 产品的过程中,默认情况下安全访问都是采用vmw are 的自签名证书,为了实现企业内部的统一安全访问,需要将vmw are 自签名证书替换为企业内部证书。 二、替换v Center Serv er 自签名证书 替换vCenter Server 自签名证书的方法有两种,手动方式和采用替换工具方式,手动方式(可参考vmw are 的KB2034833)步骤多而且容易出错,在这里主要介绍采用vmw are 提供的工具进行替换。 1、企业内部安装企业根CA 具体参考微软官方网站,这里不再赘述。 2、创建vsphere5.5证书模板 登录证书服务器,打开证书管理控制台,右击“证书模板”->“管理” 右击“w eb 服务器”选择“复制模板” 选择”w indow s Server2003 Enterprise”实现最大兼容性 在“常规”中输入模板名称 在“扩展”选项中选择“应用程序策略”-> “添加”选择“客户端身份验证” 同时编辑“密钥用法”,勾选“数字签名为原件的证明”和“允许使用用户数据加密” 可颁发的证书里需要添加新建模板,选择 vSphere-Cert 按 OK 完 查看添加的模板是否正确 登录证书网站,查看模板是否添加正常 3、创建证书请求文件CSR,向CA申请证书CRT,创建证书链PEM 登录vCenter Server 服务器,运行vCenter 安装包,选择“vCenter 证书自动化工具”->浏览介质 工具解压到路径c:\vCenterTools(可自定义) 1)、创建证书请求文件CSR 执行解压出来的批处理文件ssl-updater.bat,选择“2” 选择各个组件,创建各自的证书请求文件 按要求输入相应的申请证书信息,并执行所有组件证书请求(1-7 步骤) 执行完后,在工具目录requests 下生成相应的目录及证书请求文件 打开 http://Root_CA IP 地址/Certsrv 下载 CA 根证书 ,Base64 编码,保存在C: \vCenterTools\Root64.cer,,并导入到受信任的证书颁发机构/本地计算机里。要安装由该 CA 颁发的证书,需要导入CA 根证书 ,以信任根CA. 2)、使用以下命令行获取证书.CRT Cd c:\vCenterTools\requests\vCenterSSO-VCS Certreq –submit –config “AD.root.cn\root-AD-CA” -attrib “CertificateTemplate:vsphere-cert” rui.csr rui.crt 3)、创建 PEM 文件 证书 CRT 和密钥 KEY 创建完成之后 ,你必须创建 PEM 证书链用于每个证书,证书链包含所有证书,以朝向 CA 根证书的顺序组成。注意 :如果证书顺序错误 ,将会导致失败。 1) 复制下载好的...
