一、概要在安裝vmware 產(chǎn)品的過(guò)程中，默認(rèn)情況下安全訪問(wèn)都是采用vmware 的自簽名證書(shū)，為了實(shí)現(xiàn)企業(yè)內(nèi)部的統(tǒng)一安全訪問(wèn)，需要將vmware 自簽名證書(shū)替換為企業(yè)內(nèi)部證書(shū)。二、替換vCenter

一、概要

在安裝vmware 產(chǎn)品的過(guò)程中，默認(rèn)情況下安全訪問(wèn)都是采用vmware 的自簽名證書(shū)，為了實(shí)現(xiàn)企業(yè)內(nèi)部的統(tǒng)一安全訪問(wèn)，需要將vmware 自簽名證書(shū)替換為企業(yè)內(nèi)部證書(shū)。

二、替換vCenter Server自簽名證書(shū)

替換vCenter Server自簽名證書(shū)的方法有兩種，手動(dòng)方式和采用替換工具方式，手動(dòng)方式（可參考vmware 的KB2034833）步驟多而且容易出錯(cuò)，在這里主要介紹采用vmware 提供的工具進(jìn)行替換。

1、企業(yè)內(nèi)部安裝企業(yè)根CA

具體參考微軟官方網(wǎng)站，這里不再贅述。

2、創(chuàng)建vsphere5.5證書(shū)模板

登錄證書(shū)服務(wù)器，打開(kāi)證書(shū)管理控制臺(tái)，右擊“證書(shū)模板”->“管理”

右擊“web 服務(wù)器”選擇“復(fù)制模板”

選擇”windows Server2003 Enterprise”實(shí)現(xiàn)最大兼容性

在“常規(guī)”中輸入模板名稱

在“擴(kuò)展”選項(xiàng)中選擇“應(yīng)用程序策略”->“添加”選擇“客戶端身份驗(yàn)證”

同時(shí)編輯“密鑰用法”，勾選“數(shù)字簽名為原件的證明”和“允許使用用戶數(shù)據(jù)加密”

可頒發(fā)的證書(shū)里需要添加新建模板, 選擇 vSphere-Cert 按 OK 完

查看添加的模板是否正確

登錄證書(shū)網(wǎng)站，查看模板是否添加正常

3、創(chuàng)建證書(shū)請(qǐng)求文件CSR, 向CA 申請(qǐng)證書(shū)CRT, 創(chuàng)建證書(shū)鏈PEM

登錄vCenter Server 服務(wù)器，運(yùn)行vCenter 安裝包，選擇“vCenter 證書(shū)自動(dòng)化工具”->瀏覽介質(zhì)

工具解壓到路徑c:vCenterTools（可自定義）

1）、創(chuàng)建證書(shū)請(qǐng)求文件CSR

執(zhí)行解壓出來(lái)的批處理文件ssl-updater.bat ，選擇“2”

選擇各個(gè)組件，創(chuàng)建各自的證書(shū)請(qǐng)求文件

按要求輸入相應(yīng)的申請(qǐng)證書(shū)信息，并執(zhí)行所有組件證書(shū)請(qǐng)求（1-7步驟）

執(zhí)行完后，在工具目錄requests 下生成相應(yīng)的目錄及證書(shū)請(qǐng)求文件

打開(kāi) http://Root_CA IP 地址/Certsrv下載 CA 根證書(shū) ,Base64編碼，保存在C: vCenterToolsRoot64.cer,,并導(dǎo)入到受信任的證書(shū)頒發(fā)機(jī)構(gòu)/本地計(jì)算機(jī)里。要安裝由該 CA 頒發(fā)的證書(shū), 需要導(dǎo)入CA 根證書(shū) , 以信任根

CA.

2）、使用以下命令行獲取證書(shū).CRT

Cd c:vCenterToolsrequestsvCenterSSO-VCS

Certreq –submit –config “AD.root.cnroot-AD-CA” -attrib “CertificateTemplate:vsphere-cert” rui.csr rui.crt

3）、創(chuàng)建PEM 文件

證書(shū) CRT 和密鑰KEY 創(chuàng)建完成之后 , 你必須創(chuàng)建 PEM 證書(shū)鏈用于每個(gè)證書(shū)，證書(shū)鏈包含所有證書(shū), 以朝向 CA 根證書(shū)的順序組成。注意 :如果證書(shū)順序錯(cuò)誤 , 將會(huì)導(dǎo)致失敗。

1） 復(fù)制下載好的CA 根證書(shū)Root64.cer 到各個(gè)

c:vCenterToolsrequestsComponent-hostname

2） 使用copy source1.file source2.file target.file命令合并rui.crt Root64.cer =chain.pem

Cd c:vCenterToolsrequestsvCenterSSO-VCS

copy rui.crt Root64.cer chain.pem

3） 重復(fù)步驟2，完成所有組件pem 文件生成

4） 使用記事本打開(kāi)生成的chain.pem 文件，刪除最后一行的->字符，保存