1.在企业内部安装的根CA上创建vsphere5.5证书模板

登录证书服务器,打开证书管理控制台,右击“证书模板”->“管理”

右击“web服务器”选择“复制模板”

选择”windows Server2003 Enterprise”实现最大兼容性

替换vCenter Server 5.5 自签名证书_第1张图片

在“扩展”选项中选择“应用程序策略”->“添加”选择“客户端身份验证”

替换vCenter Server 5.5 自签名证书_第2张图片

替换vCenter Server 5.5 自签名证书_第3张图片

同时编辑“密钥用法”,勾选“数字签名为原件的证明”和“允许使用用户数据加密”

替换vCenter Server 5.5 自签名证书_第4张图片

替换vCenter Server 5.5 自签名证书_第5张图片

可颁发的证书里需要添加新建模板,选择 vSphere-Cert按 OK 完成。

查看添加的模板是否正确

替换vCenter Server 5.5 自签名证书_第6张图片

2.创建证书请求文件CSR,向CA申请证书CRT,创建证书链PEM:

 

运行vCenter安装包,选择“vCenter证书自动化工具”->浏览:

替换vCenter Server 5.5 自签名证书_第7张图片

将工具ssl-certificate-updater-tool-1308332.zip解压到路径c:\certool(可自定义):

替换vCenter Server 5.5 自签名证书_第8张图片

1)创建证书请求文件CSR:

执行解压出来的批处理文件ssl-updater.bat,选择“2”:

替换vCenter Server 5.5 自签名证书_第9张图片

替换vCenter Server 5.5 自签名证书_第10张图片

选择各个组件,创建各自的证书请求文件:

替换vCenter Server 5.5 自签名证书_第11张图片

替换vCenter Server 5.5 自签名证书_第12张图片

替换vCenter Server 5.5 自签名证书_第13张图片

替换vCenter Server 5.5 自签名证书_第14张图片

替换vCenter Server 5.5 自签名证书_第15张图片

替换vCenter Server 5.5 自签名证书_第16张图片

替换vCenter Server 5.5 自签名证书_第17张图片

替换vCenter Server 5.5 自签名证书_第18张图片

替换vCenter Server 5.5 自签名证书_第19张图片

执行完后,在工具目录requests下生成相应的目录及证书请求文件:

替换vCenter Server 5.5 自签名证书_第20张图片

打开 http://Root_CA IP地址/Certsrv下载 CA 根证书 ,Base64编码,保存在C: \certool\Root64.cer,并导入到受信任的证书颁发机构/本地计算机里。要安装由该 CA 颁发的证书,需要导入CA 根证书 ,以信任根CA.

替换vCenter Server 5.5 自签名证书_第21张图片

替换vCenter Server 5.5 自签名证书_第22张图片

替换vCenter Server 5.5 自签名证书_第23张图片

替换vCenter Server 5.5 自签名证书_第24张图片

替换vCenter Server 5.5 自签名证书_第25张图片

 

2)使用以下命令行获取证书.CRT:

 

Cd C:\certool\requests\vCenterSSO-NIP-VC01

p_w_picpath    

Certreq –submit –config “NIP-S-CA.***.com.cn\NIP-S-CA”  -attrib “CertificateTemplate:vSphere-Cert” rui.csr rui.crt

替换vCenter Server 5.5 自签名证书_第26张图片

依次执行:

替换vCenter Server 5.5 自签名证书_第27张图片

替换vCenter Server 5.5 自签名证书_第28张图片

3)创建PEM文件:

证书 CRT和密钥KEY创建完成之后 ,你必须创建 PEM证书链用于每个证书,证书链包含所有证书,以朝向 CA 根证书的顺序组成。注意 :如果证书顺序错误 ,将会导致失败。

(1) 复制下载好的CA根证书Root64.cer到各个c:\certool\requests\Component-hostname


(2) 使用copy source1.file+source2.file target.file命令合并rui.crt+Root64.cer=chain.pem


Cd C:\certool\requests\vCenterSSO-NIP-VC01

copy rui.crt+root64.cer chain.pem

替换vCenter Server 5.5 自签名证书_第29张图片

(3) 重复步骤2,完成所有组件pem文件生成

(4) 使用记事本打开生成的chain.pem文件,删除最后一行的->字符,保存

替换vCenter Server 5.5 自签名证书_第30张图片

 

4.替换vCenter5.5组件证书:

1)执行ssl-updater.bat选择1,显示需要升级的顺序:

替换vCenter Server 5.5 自签名证书_第31张图片

替换vCenter Server 5.5 自签名证书_第32张图片

替换vCenter Server 5.5 自签名证书_第33张图片

2)选择需要升级的组件,升级所有组件需要16步之多,输入9返回,开始升级

替换vCenter Server 5.5 自签名证书_第34张图片

替换vCenter Server 5.5 自签名证书_第35张图片

替换vCenter Server 5.5 自签名证书_第36张图片

按顺序完成所有组件(如果所有组件都有安装)的升级:

替换vCenter Server 5.5 自签名证书_第37张图片

替换vCenter Server 5.5 自签名证书_第38张图片

替换vCenter Server 5.5 自签名证书_第39张图片

替换vCenter Server 5.5 自签名证书_第40张图片

替换vCenter Server 5.5 自签名证书_第41张图片

替换vCenter Server 5.5 自签名证书_第42张图片

替换vCenter Server 5.5 自签名证书_第43张图片

替换vCenter Server 5.5 自签名证书_第44张图片

替换vCenter Server 5.5 自签名证书_第45张图片

替换vCenter Server 5.5 自签名证书_第46张图片

替换vCenter Server 5.5 自签名证书_第47张图片

替换vCenter Server 5.5 自签名证书_第48张图片

替换vCenter Server 5.5 自签名证书_第49张图片

替换vCenter Server 5.5 自签名证书_第50张图片

 

替换vCenter Server 5.5 自签名证书_第51张图片

出错了:

2017/04/18 周二 - 20:40:23.96]: Last operation update the Log Browser SSL certificate failed :    
[2017/04/18 周二 - 20:40:23.97]: Certificates were reverted, but tool was not able to unregister and register the LogBrowser with Single Sign-On and lookup Service, the error code is 1