在VMware vCenter中使用企业CA或第三方CA替换VMCA
以下内容是我自己的生产环境的情况结合VMware官方文档的操作步骤,在此仅做记录,不保证适用其他场景需求:
VMware官方文档:https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-DC693417-78CF-477F-9A4F-AFC9AA1D74E7.html
环境准备
CA:Windows Server 2016(已提前部署了CA)
vSphere: ESXi 6.7 update 3
vCetner:VMware vCenter 6.7(Windows Server 2012 R2)
证书替换概述
VMware vCenter支持根据公司策略和正配置的系统的要求来执行不同类型的证书替换。可以使用 vSphere Certificate Manager 实用程序从 Platform Services Controller 执行证书替换,也可以通过使用安装中包含的 CLI 手动执行证书替换。
VMCA 包含在每个 Platform Services Controller 和每个嵌入式部署中。VMCA 可置备每个节点、每个 vCenter Server 解决方案用户,以及每个使用由 VMCA 签名的证书作为证书颁发机构的 ESXi 主机。vCenter Server 解决方案用户是 vCenter Server 服务组。
可以替换默认证书。对于 vCenter Server 组件,可以使用安装中包含的一组命令行工具。您具有多个选择。
- 替换为 VMCA 签名的证书
- 使 VMCA 成为中间 CA
- 由第三方或企业 CA 签名的证书使用 VMCA 作为中间 CA
此处仅对第二种替换方式(使VMCA成为中间CA)进行记录
在Windows Server 2016中创建所需的证书颁发机构模板
为vSphere 6.7创建新的证书模板,以用于计算机SSL和解决方案用户证书
- 通过远程桌面连接到CA服务器
- 在开始菜单中找到“证书颁发机构”,并打开
- 找到证书模板,右键,单击“管理”,打开“证书模板控制台”
- 在“证书模板控制台”中的“模板显示名称”下,右键单击 “Web 服务器V2”,然后单击复制模板。
- 在“复制模板”窗口中,在兼容性选项卡下,选择 Windows Server 2008 R2 以实现向后兼容。(默认是Windows Server 2003,当然也可以直接用这个)
- 单击常规选项卡。
- 在“模板显示名称”字段中,输入 VMware vSphere 6.7 作为新模板的名称。修改有效期为5年,续订期为6周,勾选“在Active Directory中发布证书”和“如果Active Directory中有一个重复证书,不要自动重新注册”
- 单击扩展选项卡。
- 选择应用程序策略,然后单击编辑。
- 选择服务器身份验证,然后依次单击移除和确定。
- 选择密钥用法,然后单击编辑。
- 选择签名证明原件 (认可) 选项。 将所有其他选项保留为默认值。单击确定。
- 单击使用者名称选项卡。
- 确保选择了在请求中提供选项。
- 单击确定保存模板。
- 继续查阅本文中的在证书模板中添加新模板部分,使新创建的证书模板可用。
为vSphere 6.7创建新的证书模板,以作为从属 CA 用于 VMCA
- 通过远程桌面连接到CA服务器
- 在开始菜单中找到“证书颁发机构”,并打开
- 找到证书模板,右键,单击“管理”,打开“证书模板控制台”
- 在“证书模板控制台”中的“模板显示名称”下,右键单击从属证书颁发机构,然后单击复制模板。
- 在“复制模板”窗口中,选择 Windows Server 2008 R2 以实现向后兼容。
- 单击常规选项卡。
- 在“模板显示名称”字段中,输入 VMware vCenter 6.7 VMCA 作为新模板的名称。
- 有效期为5年,续订期为6周,确保选择了“在 Active Directory 中发布证书”和“如果Active Directory中有一个重复证书,不要自动重新注册”。
- 单击扩展选项卡。
- 选择密钥用法,然后单击编辑。
- 确保已启用数字签名、证书签名和 CRL 签名。
- 确保已启用使这个扩展成为关键。
- 单击确定。
- 单击确定保存模板。
- 继续查阅本文中的在证书模板中添加新模板部分,使新创建的证书模板可用。
新建证书模板
在证书模板的空白处,点击右键,选择“新建” > “要颁发的证书模板”,在弹出窗口中选择刚刚新建的证书模板,点击确定即可
将VMCA设置为中间证书颁发机构
使用vSphere 证书管理器生成 CSR 并准备根证书
-
登录vCenter所在的物理服务器
-
进入以下目录C:\Program Files\VMware\vCenter Server\vmcad\
-
右键单击“certificate-manager.bat”,选择“以管理员身份运行”
-
选择选项 2。
-
首先,使用此选项生成 CSR,而不是替换证书。
-
按照提示提供密码和 Platform Services Controller 的 IP 地址或主机名。
-
选择选项 1 以生成 CSR 并按提示提供信息。(在此流程中,您必须提供一个目录。证书管理器会将要签名的证书(.csr 文件)和相应密钥文件(.key 文件)放入该目录中。如果没有目录则需要先创建好。例如:我这边是在D盘创建了一个D:\SSL\CSRS目录)
-
使用记事本打开vmca_issued_csr.csr文件
-
使用IE浏览器打开CA服务器的证书申请页面http://
/certsrv -
点击“申请证书”
-
选择“高级证书申请”
-
选择“使用base64编码的CMC或PKCS #10文件提交一个证书申请,或使用base64编码的PKCS #7文件续订证书申请”
-
将刚刚使用记事本打开的vmca_issued_csr.csr文件内容复制粘贴到“Base-64编码的证书申请(CMC或PKCS #10或PKCS #7)”
-
证书模板选择“VMware vCenter 6.7 VMCA”
-
点击提交
-
选择Base64编码,下载证书文件
-
拼接证书文件
-
新建一个root_signing_chain.cer文件,并用记事本打开
-
将刚刚下载的证书文件内容复制到root_signing_chain.cer文件
-
下载CA根证书
-
将CA证书内容复制,并追加粘贴到root_signing_chain.cer文件中
-
最终root_signing_chain.cer文件中的内容如下
-----BEGIN CERTIFICATE-----
被CA签名的VMCA证书
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA根证书
-----END CERTIFICATE-----
-
-
继续选择1选项
-
输入刚刚创建的root_signing_chain.cer文件路径和刚刚生成的vmca_issued_key.key文件路径
-
开始导入新证书,等待新证书替换完成,可能需要20分钟左右
-
证书替换完成后,使用Administrator用户登录vCenter,在vCenter 的FQDN下点击,配置>高级配置,修改一下vpxd.certmgmt.certs.minutesBefore,把1440改成10,然后保存,如果此处不修改,后续更新ESXi服务器证书时会提示诸如下面的报错:“Unable to get signed certificate forhost name ‘xxx.xxx.xxx’ ip ‘xxx.xxx.xxx.xxx’: Error: Start Time Error (70034)”
-
证书导入成功后即可在系统管理>证书管理中,可信根证书列表中查看到最新导入的根证书,根证书的签发者应该是企业CA或第三方CA
续订计算机SSL证书和解决方案证书
点击计算机SSL证书和解决方案证书上的“操作”,选择续订,即可更新为新CA证书签发的证书
更新ESXi主机证书
登录一个ESXi主机,进入配置>证书页面,点击“更新”和“刷新CA证书”即可刷新ESXi的证书
注:ESXi主机的时间需要与vCenter服务器的时间一致,否则无法刷新
再次申明:以上内容是我自己的生产环境的情况结合VMware官方文档的操作步骤,在此仅做记录,不保证适用其他场景需求,请以VMware官方文档为准
VMware官方文档:https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-DC693417-78CF-477F-9A4F-AFC9AA1D74E7.html