vCenter6 ssoserverSign证书测试记录
vCenter6 ssoserverSign证书测试记录
1、组件信息
-
VMware-VMvisor-Installer-5.5.0.update01-1623387.x86_64.iso
-
VMware-VCSA-all-6.0.0-7040641.iso
-
VMware-VCSA-all-6.0.0-9146214.iso (业务正在使用版本)
2、环境准备
本次环境部署在一台服务器上,将ESXi安装在上面。
2.1、安装ESXi操作系统
2.1.1、将ESXi系统客户在CD或者U盘上。
2.1.2、服务器开机选择CD/DVD启动
2.1.3、安装进程启动
2.1.4、选择Enter继续
2.1.5、选择安装位置
2.1.6、选择键盘 US
2.1.7、配置密码,密码至少7位,满足复杂
2.1.8、开始安装
2.1.9、 安装完成,移除介质后重启
2.2、 安装vCenter
VCSA不再是.OVA,而是.ISO图像,因此刻录/提取/安装在您的计算机上。首先,我们需要安装VMware Client Integration 6.0插件。在vcsa文件夹中,有一个名为VMware-ClientIntegrationPlugin-6.0.0.exe的可执行文件。安装很简单,安装完成后继续下一步:
现在安装了插件,打开ISO根目录下的vcsa-setup.html。这将启动vCSA安装程序启动屏幕:
单击安装:
接受EULA并单击Next:
输入要部署的VCSA的ESXi主机的FQDN或IP地址和根凭据。单击下一步:
输入要为设备调用的名称并设置root帐户密码。单击下一步:
对于小型环境/实验室,您将希望继续使用嵌入式平台服务控制器。如果您处于具有多个vCenter的大型环境中,则可能需要将vCenter与平台服务控制器分开。如果要阅读有关分离它们的更多信息,请阅读“ VMware vCenter Server 6.0部署指南”中的相关内容。单击下一步:
如果您有SSO域名,请输入以下信息。否则,请创建一个新的SSO域。单击下一步:
注意:请勿使用与SSO域相同的Active Directory域名。你会遇到重大问题!
在这里,您可以选择您的vCSA将获得多少资源。
微小:2个vCPU,8 GB内存,120 GB磁盘空间
小:4个vCPU,16 GB内存,150 GB磁盘空间
中:8个vCPU,24 GB内存,300 GB磁盘空间
大:16个vCPU,32 GB内存,450 GB磁盘空间选择您的设备尺寸并单击下一步:
选择要将设备部署到的数据存储,单击“ 下一步”:
本次选择精简模式
vCSA支持使用外部Oracle数据库。我想继续使用嵌入式Postgres数据库。单击下一步:
选择要使用的标准交换机网络,输入IP地址,FQDN,子网掩码,网关和DNS服务器。如果要启用SSH,请选中此框(如果您现在不进行检查,可以稍后启用)。单击下一步:
查看摘要页面。如果一切正常,请单击完成:
创建VM后,您可以在控制台运行时监控它。没有什么事情真的发生,但是比较控制台进度条和安装是很整洁。
它结束了!单击关闭:
VCSA已准备好进行配置!
3、安装证书服务器
3.1、 部署AD服务器
3.1.1、 搭建AD、DNS服务器
创建两台WindowsServer2012R2的虚拟机,部署AD和DNS服务器,AD和DNS主备部署。
3.1.2、部署AD、DNS服务
主节点部署
1、修改WindowsServer2012虚拟机名称
2、安装AD、DNS角色及服务
3、在页面中间,单击“添加角色和功能”。 弹出“添加角色和功能向导”对话框。
4、连续三次单击“下一步”。
5、在“角色”对话框中,勾选“Active Directory 域服务”、“DNS服务器”,在弹出的对话框中单击“添加功能”,单击“下一步”,
6、在“功能”对话框中,勾选“Windows Server Backup”
7、连续四次单击“下一步”
8、单击“安装”。 进度条显示安装进度,当提示“安装成功”,表示安装完成。
备节点部署
与主节点步骤一致
3.1.3、配置AD
配置主节点
1、使用administrator帐号登录主用AD服务器
2、在“服务器管理器”界面的右上角,,选择“将此服务器提升为域控制器”。 弹出“Active Directory 域服务配置向导”窗口
3、选择“添加新林”,并填写“根域名”,单击“下一步”。
4、将“林功能级别”与“域功能级别”设置为“Windows Server 2012 R2”,并设置“键入目录服务还原模式(DSRM)密码”,单击“下一步”
5、保持默认值,连续四次单击“下一步”,单击“安装”。 根据界面提示完成AD/DNS服务安装并重新启动虚拟机。
6、重新启动后使用Administrator帐户登录AD/DNS/DHCP服务器。 帐号格式为“用户域域名\Administrator”,如“vdesktop\Administrator”。
配置备节点
1、使用administrator帐号登录备用AD服务器。
2、在“服务器管理器”界面的右上角,单击 ,选择“将此服务器提升为域控制器”。 弹出“Active Directory 域服务配置向导”窗口,
3、选择“将域控制器添加到现有域”
4、单击“域”对应的“选择”。 弹出“Windows 安全”对话框。
5、输入主AD的域用户名和密码,单击“确定”
6、弹出的“从林中选择域”对话框中,选择一个域,单击“确定”。
7、在“Active Directory 域服务配置向导”界面中,单击“下一步”。
8、设置“键入目录服务还原模式(DSRM)密码”,单击“下一步”,
9、保持默认值,连续四次单击“下一步”,单击“安装”,根据界面提示完成AD/DNS服务安装并重新启动虚拟机。
10、重新启动后使用Administrator帐户登录AD服务器。 帐号格式为“用户域域名\Administrator”,如“vdesktop\Administrator”。
3.2、搭建CA服务器
1.在域成员服务器上打开服务器管理器,选择添加角色和功能
2.下一步
3.下一步
4.下一步 
5.选择Active Directory 证书服务,添加功能 
6.添加完成 
7.下一步 
8.下一步 
9.添加证书颁发机构Web注册,选择添加功能 
10.添加完成,下一步 
11.下一步 
12.下一步 
13.等待安装完成 
14.选择配置目标服务器上的Active Directory 证书服务 
15.下一步 
16.选择证书颁发机构、证书颁发机构Web注册 
17.下一步 
18.下一步 
19.下一步 
20.下一步 
21.下一步 
22.更改根证书使用时间,下一步 
23.下一步 
24.配置 
25.配置完成 
CA服务器部署完成,个人建议部署完成后将CA服务器进行重新启动。
3.3、证书模板
-
连接到 CA 服务器时,您会通过 RDP 会话生成证书。
-
单击开始 > 运行,键入 certtmpl.msc,然后单击确定。
-
在“证书模板控制台”中的“模板显示名称”下,右键单击 Web Server,然后单击复制模板。
-
在“复制模板”窗口中,选择 Windows 7 / Server 2008 R2 以实现向后兼容。
注意: 如果您具有比 SHA1 高的加密级别,请选择 Windows Server 2012 Enterprise。
-
-
单击常规选项卡。
-
在“模板显示名称”字段中,输入 vSphere 6.x 作为新模板的名称。
-
单击扩展选项卡。
-
选择应用程序策略,然后单击编辑。
-
选择服务器身份验证,然后依次单击移除和确定。
注意:如果存在客户端身份验证,也请从应用程序策略中移除。
-
单击基本约束,然后单击编辑。
-
单击启用该扩展复选框,然后单击确定。
-
选择密钥用法,然后单击编辑。
-
选择签名证明原件 (认可) 选项。 将所有其他选项保留为默认值。
-
单击确定。
-
单击使用者名称选项卡。
-
确保选择了在请求中提供选项。
-
单击确定保存模板。
-
继续查阅本文中的在证书模板中添加新模板部分,使新创建的证书模板可用。
为 vSphere 6.x 创建新模板以作为从属 CA 用于 VMCA
-
连接到 CA 服务器时,您会通过 RDP 会话生成证书。
-
单击开始 > 运行,键入 certtmpl.msc,然后单击确定。
-
在“证书模板控制台”中的“模板显示名称”下,右键单击从属证书颁发机构,然后单击复制模板。
-
在“复制模板”窗口中,选择 Windows 7 / Server 2008 R2 以实现向后兼容。
注意: 如果您具有比 SHA1 高的加密级别,请选择 Windows Server 2012 Enterprise。
-
单击常规选项卡。
-
在“模板显示名称”字段中,输入 vSphere 6.x VMCA 作为新模板的名称。
-
确保选择了“在 Active Directory 中发布证书”。
-
单击扩展选项卡。
-
单击基本约束,然后单击编辑。
-
单击启用该扩展复选框,然后单击确定。
-
选择密钥用法,然后单击编辑。
-
确保已启用数字签名、证书签名和 CRL 签名。
-
确保已启用使这个扩展成为关键。
-
单击确定。
-
单击确定保存模板。
-
继续查阅本文中的在证书模板中添加新模板部分,使新创建的证书模板可用。
在证书模板中添加新模板
-
连接到 CA 服务器时,您会通过 RDP 会话生成证书。
-
单击开始 > 运行,键入 certsrv.msc,然后单击确定。
-
在“证书控制台”左侧窗格中,单击 + 图标展开节点(如果已折叠起来)。
-
右键单击证书模板,然后单击新建 > 要发布的证书模板。
-
在“名称”列下,找到 vSphere 6.x 或 vSphere 6.x VMCA。
-
单击确定。
4、更新vCenter证书
1、启动 vSphere 6.x Certificate Manager:
vCenter Server 6.x Appliance: /usr/lib/vmware-vmca/bin/certificate-manager
Windows vCenter Server 6.x: C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
注意:如果启用了用户访问控制,请务必以管理员身份登录或“以管理员身份运行”。
2、选择选项 1(Replace Machine SSL certificate with Custom Certificate)
3、在系统提示时,提供 [email protected] 密码。
4、选择选项 1(Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate)
4、输入要在其中保存证书签名请求和私有密钥的目录。
注意:
-
生成证书签名请求的键入值,请参见如信息:
Country : Two uppercase letters only (Eg. US), the country where your company is located. Name : FQDN of the vCenter Server Organization : Company Name OrgUnit : The name of your department within the organization. Example: "IT" State : The state/province where your company is located Locality : The city where your company is located. IPAddress : IP Address of vCenter Server, this field is Optional Email : Email Address Hostname : FQDN of vCenter Server VMCA Name : FQDN of vCenter Server with VMCA (Usually External PSC or VC with Embedded PSC FQDN)
-
在 vSphere 6.0 Update 3 中,生成 CSR 时会根据先前的 Machine_SSL 证书提供主机名(正确区分大小写)。
-
创建的文件的名称将为 vmca_issued_csr.csr 和 vmca_issued_key.key。
6、将 vmca_issued_csr.csr 提供给证书颁发机构以生成 Machine SSL证书,并将文件命名为 machine_name_ssl.csr。
7、返回到 vSphere 6.x Certificate Manager 并选择选项 1(Continue to importing Custom certificate(s) and key(s) for Machine SSL certificate)
8、提供machine_name_ssl.cer 和vmca_issued_key.key(见步骤 5)以及 CA 证书Root64.cer**的完整路径。
例如:
vCenter Server Appliance: 请提供计算机 SSL 的有效的自定义证书。 File : /tmp/ssl/machine_name_ssl.cer
请提供计算机 SSL 的有效的自定义密钥。 File : /tmp/ssl/machine_name_ssl.key
请提供计算机 SSL 证书的签名证书。 File : /tmp/ssl/Root64.cer
Windows vCenter Server: 请为计算机 SSL 提供有效的自定义证书。 File :C:\ssl\machine_name_ssl.cer
请为计算机 SSL 提供有效的自定义密钥。 File : C:\ssl\machine_name_ssl.key
请提供计算机 SSL 证书的签名证书 File :C:\ssl\Root64.cer
-
回复“是”(Y) 确认请求以继续。
运行回话
Connected to service •[?1034h * List APIs: "help api list" * List Plugins: "help pi list" * Enable BASH access: "shell.set --enabled True" * Launch BASH: "shell" Command> shell Shell is disabled. Command> shell.set --enabled True Command> shell ---------- !!!! WARNING WARNING WARNING !!!! ---------- Your use of "pi shell" has been logged! The "pi shell" is intended for advanced troubleshooting operations and while supported in this release, is a deprecated interface, and may be removed in a future version of the product. For alternative commands, exit the "pi shell" and run the "help" command. The "pi shell" command launches a root bash shell. Commands within the shell are not audited, and improper use of this command can severely harm the system. Help us improve the product! If your scenario requires "pi shell," please submit a Service Request, or post your scenario to the https://communities.vmware.com/community/vmtn/vcenter/vc forum and add "appliance" tag. localhost:~ # chsh -s /bin/bash Changing login shell for root. Shell changed. localhost:~ # /usr/lib/vmware-vmca/bin/ localhost:~ # /usr/lib/vmware-vmca/bin #./certificate-manager _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ | | | *** Welcome to the vSphere 6.0 Certificate Manager *** | | | | -- Select Operation -- | | | | 1. Replace Machine SSL certificate with Custom Certificate | | | | 2. Replace VMCA Root certificate with Custom Signing | | Certificate and replace all Certificates | | | | 3. Replace Machine SSL certificate with VMCA Certificate | | | | 4. Regenerate a new VMCA Root Certificate and | | replace all certificates | | | | 5. Replace Solution user certificates with | | Custom Certificate | | | | 6. Replace Solution user certificates with VMCA certificates | | | | 7. Revert last performed operation by re-publishing old | | certificates | | | | 8. Reset all Certificates | | | |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _| Note : Use Ctrl-D to exit. Option[1 to 8]: 1 Please provide valid SSO and VC priviledged user credential to perform certificate operations. Enter username [[email protected]]: Enter password: 1. Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate 2. Import custom certificate(s) and key(s) to replace existing Machine SSL certificate Option [1 or 2]: 1 Please provide a directory location to write the CSR(s) and PrivateKey(s) to: Output directory path: /home/CA Please configure certool.cfg with proper values before proceeding to next step. Press Enter key to skip optional parameters or use Default value. Enter proper value for 'Country' [Default value : US] : china Enter valid 2 letter country code Enter proper value for 'Country' [Default value : US] : ZH Enter proper value for 'Name' [Default value : CA] : Enter proper value for 'Organization' [Default value : VMware] : qingzang Enter proper value for 'OrgUnit' [Default value : VMware] : IT Enter proper value for 'State' [Default value : California] : qinghai Enter proper value for 'Locality' [Default value : Palo Alto] : xining Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] : Enter proper value for 'Email' [Default value : [email protected]] : [email protected] Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : 192.168.101.252 Enter proper value for VMCA 'Name' :192.168.101.252 2021-06-21T09:17:45.245Z Running command: ['/usr/lib/vmware-vmca/bin/certool', '--genkey', '--privkey', '/home/CA/vmca_issued_key.key', '--pubkey', '/tmp/pubkey.pub'] 2021-06-21T09:17:45.495Z Done running command 2021-06-21T09:17:45.496Z Running command: ['/usr/lib/vmware-vmca/bin/certool', '--gencsr', '--privkey', '/home/CA/vmca_issued_key.key', '--pubkey', '/tmp/pubkey.pub', '--config', '/var/tmp/vmware/certool.cfg', '--csrfile', '/home/CA/vmca_issued_csr.csr'] 2021-06-21T09:17:45.612Z Done running command CSR generated at: /home/CA/vmca_issued_csr.csr 1. Continue to importing Custom certificate(s) and key(s) for Machine SSL certificate 2. Exit certificate-manager Option [1 or 2]: 1 Please provide valid custom certificate for Machine SSL. File : /home/CA/certnew.cer Please provide valid custom key for Machine SSL. File : /home/CA/vmca_issued_key.key Please provide the signing certificate of the Machine SSL certificate File : /home/CA/Root64.cer You are going to replace Machine SSL cert using custom cert Continue operation : Option[Y/N] ? : Y Status : 0% Completed [Operation failed, performing automatic rollback] Error while replacing Machine SSL Cert, please see /var/log/vmware/vmcad/certificate-manager.log for more information. Performing rollback of Machine SSL Cert... Rollback Status : 0% Completed [Rollback Machine SSL Cert...] Get site name site Lookup all services Get service site:9dac2d77-f8fd-478d-9efc-305944b7afae Update service site:9dac2d77-f8fd-478d-9efc-305944b7afae; spec: /tmp/svcspec_PGMZ3_ Get service site:1c67ca4e-39e7-4cb4-931d-ecd50b4514ff Update service site:1c67ca4e-39e7-4cb4-931d-ecd50b4514ff; spec: /tmp/svcspec_nEyB7D Get service site:3bb1de6f-1bf1-46e8-b593-e01b77da92c8 Update service site:3bb1de6f-1bf1-46e8-b593-e01b77da92c8; spec: /tmp/svcspec_pymSIk Get service e9867578-7586-4db2-aaf0-8e9aef8f606d Update service e9867578-7586-4db2-aaf0-8e9aef8f606d; spec: /tmp/svcspec_dWep3k Get service 4f8254a7-9a13-4ea9-8675-b0f33533bc15 Update service 4f8254a7-9a13-4ea9-8675-b0f33533bc15; spec: /tmp/svcspec_FEl9O5 Get service c982a4e3-aa84-44e7-9153-431dff968628 Update service c982a4e3-aa84-44e7-9153-431dff968628; spec: /tmp/svcspec_mc_591 Get service 04f867a2-1248-4474-8c42-3ba2b9bf5d97 Update service 04f867a2-1248-4474-8c42-3ba2b9bf5d97; spec: /tmp/svcspec_2ViKFz Get service 0fa2cf40-7176-43f5-b44b-13043b524e04 Update service 0fa2cf40-7176-43f5-b44b-13043b524e04; spec: /tmp/svcspec_6mQFEA Get service c7138dd4-eb18-4266-9761-77a0cb7beae3 Update service c7138dd4-eb18-4266-9761-77a0cb7beae3; spec: /tmp/svcspec_JVAgLW Get service 92feb569-bf15-469c-8531-3b3831764146 Update service 92feb569-bf15-469c-8531-3b3831764146; spec: /tmp/svcspec_feMWun Get service 08e79dd1-1b5e-4fe9-8de2-ceadbd645a0c Update service 08e79dd1-1b5e-4fe9-8de2-ceadbd645a0c; spec: /tmp/svcspec_KxeKCe Get service ffdd9b56-1a45-4bce-b511-ec45c4473970 Update service ffdd9b56-1a45-4bce-b511-ec45c4473970; spec: /tmp/svcspec_UsoWXr Get service 8953fb27-6885-4da6-bb14-a2c9a82eb678 Update service 8953fb27-6885-4da6-bb14-a2c9a82eb678; spec: /tmp/svcspec_syBbia Get service 87ff813b-38a5-45e7-ad93-797ad1ac7b82 Update service 87ff813b-38a5-45e7-ad93-797ad1ac7b82; spec: /tmp/svcspec_T_VCFI Get service 4d689326-f19d-4bd9-b13b-4db89be35582 Update service 4d689326-f19d-4bd9-b13b-4db89be35582; spec: /tmp/svcspec_jR9eLS Get service 2590f4c8-fb66-4b9c-b57d-e913d31f7ed4 Update service 2590f4c8-fb66-4b9c-b57d-e913d31f7ed4; spec: /tmp/svcspec_DtOkBh Get service 04f867a2-1248-4474-8c42-3ba2b9bf5d97_authz Update service 04f867a2-1248-4474-8c42-3ba2b9bf5d97_authz; spec: /tmp/svcspec_2PPFnT Get service 04f867a2-1248-4474-8c42-3ba2b9bf5d97_kv Update service 04f867a2-1248-4474-8c42-3ba2b9bf5d97_kv; spec: /tmp/svcspec_J_fUqe Get service 32068e63-82d3-40d2-8703-068797f2e858 Update service 32068e63-82d3-40d2-8703-068797f2e858; spec: /tmp/svcspec_R8rRtL Get service ca8452ca-da6c-482a-b806-15dc87ec4bb1 Update service ca8452ca-da6c-482a-b806-15dc87ec4bb1; spec: /tmp/svcspec_V9iHoe Get service 94450733-7175-4465-b245-840eba9683ad Update service 94450733-7175-4465-b245-840eba9683ad; spec: /tmp/svcspec_cUMgW4 Get service efc4a709-8b5a-466c-8e18-6be0803e3639 Update service efc4a709-8b5a-466c-8e18-6be0803e3639; spec: /tmp/svcspec_QhD3By Get service d52f50ee-094f-48f6-909d-4b2a81a02f75_com.vmware.vsan.health Don't update service d52f50ee-094f-48f6-909d-4b2a81a02f75_com.vmware.vsan.health Get service 33352c41-e032-4ba7-895b-6f05d9ebacd8 Update service 33352c41-e032-4ba7-895b-6f05d9ebacd8; spec: /tmp/svcspec_2L3txP Get service c144eab1-38fc-4303-b939-a304d836a6d9 Update service c144eab1-38fc-4303-b939-a304d836a6d9; spec: /tmp/svcspec_K_5N0j Get service f4e302e5-1c7d-4556-ac21-f3832d3a1395 Update service f4e302e5-1c7d-4556-ac21-f3832d3a1395; spec: /tmp/svcspec_FoX7Hc Get service d52f50ee-094f-48f6-909d-4b2a81a02f75 Update service d52f50ee-094f-48f6-909d-4b2a81a02f75; spec: /tmp/svcspec_peA3Ex Updated 26 service(s) Rollback Status : 70% Completed [stopping services...] Rollback Status : 85% Completed [starting services...] Rollback Status : 100% Completed [Rollback completed successfully] localhost:/usr/lib/vmware-vmca/bin #
5、证书状态完成
证书更新完成后,请等待服务进程重启。
稍后检查证书状态
5.1、证书更新前
5.2、证书更新后
