vSphere6与View611替换自签名证书指南

VMwarevCenter6和View6.1.1替换自签名证书指南一、概述可以使用vSphere证书管理器实用程序将所有证书替换为自定义证书。开始此过程之前，必须向您的CA发送CSR。您可以使用证书管理器生成CSR。一个方法是仅使用VMCA置备的解决方案用户证书替换计算机SSL证书。解决方案用户证书仅用于vSphere组件之间的通信。二、vSphere6.0中将解决方案用户证书替换为自定义证书如果选择此选项，则vSphere证书管理器会提示您为现有解决方案用户证书替换证书。在多节点部署中，使用此选项运行vSphere证书管理器以替换PlatformServicesController上的计算机解决方案用户证书，以及每个管理节点上的整组解决方案用户。开始之前，您需要为环境中的每个计算机生成一个CSR。您可以使用vSphere证书管理器生成CSR或明确生成CSR。1、使用vSphere证书管理器生成证书签名请求CSR（自定义证书）。（1）、创建vSphere6证书模板本文使用windowsserver2012R2的CA证书颁发机构，已经创建好了企业根CA。用域管理员登录证书服务器，打开“CertificationAuthority（证书颁发机构）”下图中，右键点击“CertificateTemplates（证书模板）”，选择“Manage（管理）”下图中，右键点击“WebServer”，选择“DuplicateTemplate（复制模板）”下图中，在“CertificationAuthority”下来菜单中，选择“windowsserver2003”，最好的兼容性下图中，在“General（常规）”选项卡下输入模板的名称下图中，点击“Extensions（扩展）”选项卡，双击“ApplicationPolicies（应用策略）”，下图中，点击“ServerAuthentication（服务器身份验证）”，点击“Remove（删除）”下图中，双击“KeyUsage（密钥用法）”下图中，勾选“Signatureisproofoforigin（nonrepudiation）【数字签名为原件的证明（认可）】”，其余保持默认，点击OK下图中，点击“SubjectName（使用者名称）”选项卡，确保“Supplyintherequest（在请求中提供）”被选中点击OK，保存模板创建一个新的模板用于VMCA下属CA下图中，右键点击“SubordinateCertificationAuthority（从属证书颁发机构）”，选择“DuplicateTemplate（复制模板）”下图中，兼容性选择windowsserver2003下图中，点击“General（常规）”选项卡，输入名称，勾选“PublishcertificateinActiveDirectory（在活动目录发布证书）”下图中，选中“Extensions（扩展）”选项卡，选中“KeyUsage（密钥用法）”，点击“Edit（编辑）”下图中，勾选“DigitalSignature（数字签名）”、“Certificatesigning（证书签名）”和“CRLsigning（CRL签名）”，勾选“Makethisextensioncritical（是这个扩展成为关键）”下图中，回到CertificationAuthority（证书颁发机构），右键点击“CertificateTemplates（证书模板）”，选择“New”——“CertificateTemplatetoIssue（要颁发的证书模板）”下图中，选中“vSphere6.0”和“vSphere6.0VMCA”，点击OK下图中，完成证书模板创建（2）、创建证书请求文件CSR使用vSphere6.0证书管理器来生成CSR文件vSphere6.0证书管理器certificate-manager.bat所在的路径WindowsC:\ProgramFiles\VMware\vCenterServer\vmcad\certificate-manager.batLinux/usr/lib/vmware-vmca/bin/certificate-manager.bat登录vCenter服务器，找到certificate-manager.bat下图中，以管理员身份运行certificate-manager.bat文件，选择5，生成所有解决方案用户的CSR文件下图中，要求输入SSO密码，然后再输入1，生成CSR下图中，输入CSR保存路径，本文为c:\SSL\all下图中，CSR文件创建完成，输入2，退出在每个vCenterServer节点上，证书管理器生成四个证书和密钥对。如下图所示（3）、在VMwarevCenterServerAppliance6.0（VCSA6.0）中创建请求文件CSR在VCSA中打开SSH下图中，选中“TroubleshootingModeOptions”下图中，分别在“EnableBASHShell”和“EnableSSH”上回车下图中，使用PuTTY登录VCSA下图中，输入shell进入命令行模式VCSA6.0证书管理器certificate-manager.bat所在的路径/usr/lib/vmware-vmca/bin命令：certool--initcsr生成证书签名请求(CSR)。此命令可生成PKCS10文件和专用密钥。命令格式：certool--initcsr--privkey=filename--pubkey=filename--csrfile=filename2、发送到CA申请vCenter服务器证书在vCenter服务器上登录CA证书服务器，点击“Requestacertificate（申请证书）”下图中，点击“advancedcertificaterequest（高级证书申请）”下图中，点击“Submitacertificaterequestbyusingabase-64-encodedCMCorPKCS#10file,orsubmitarenewalrequestbyusingabase-64-encodedPKCS#7file”用记事本打开上文的machine.csr下图中，拷贝machine.csr证书申请内容，并选择vSphere6.0证书模板，点击“Submit（提交）”下图中，勾选“Base64encoded”，点击“Downloadcertificate（下载证书）”下图中，保存文件名为machine-certnew.cer重复上述步骤，把所有组件的证书申请好，如下图所示3、下载CA证书链下图中，点击“DownloadaCAcertificate，certificatechain，orCRL”下图中，勾选“Base64”,点击“DownloadCAcertificatechain（下载CA证书链）”下图中，保存文件命名为cachain.p7b双击cachain.p7b文件，打开下图所示窗口，选中“Certificares”，在右边窗口中右键点击“imt-CA-CA-1”,选中“AllTasks（所有任务）”——“Export（导出）”下图中，勾选“Base-64encodedX.509(.CER)”下图中，保存文件名为：Root64.cer4、将解决方案用户证书替换为自定义证书启动vSphere证书管理器，输入“5”下图中，输入SSO密码后，输入“2”下图中，输入上文申请好的machine的证书“machine-certnew.cer”的路径下图中，输入machine的Key文件的路径下图中，输入vsphere-webclient的证书“vsphere-webclient-certnew.cer”的路径下图中，输入输入vsphere-webclient的key文件路径下图中，输入vpxd的证书“vpxd-certnew.cer”的路径下图中，输入vpxd的key文件路径下图中，输入vpxd-extension的证书“vpxd-extension-certnew.cer”的路径下图中，输入vpxd-extension的key文件路径下图中，输入上文创建的Root64.cer证书文件的路径三、View6.1.1替换自签名证书1、创建View6证书模板在CA服务器上，打开“CertificationAuthority（证书颁发机构）”，在下图中，右键点击“CertificateTemplates（证书模板）”，点击“Manage（管理）”下图中，右键点击“WebServer”，选择“DuplicateTemplate（复制模板）”下图中，点击“General（常规）”选项卡，输入模板名称下图中，点击“RequestHandling（请求处理）”选项卡，勾选“Allowprivatekeytobeexported（允许导出私钥）”下图中，点击“Security（安全）”选项卡，给AuthenticatedUsers和Administrator添加“Write（写入）”和“Enroll（注册）”权限下图中，右键点击“CertificateTemplates（证书模板）”，点击“New”——“CertificateTemplatetoIssue（要颁发的证书模板）”下图中，选中上面创建的“view-cert”模板下图中，看见“view-cert”模板已经颁发好了2、替换Viewconnection连接服务器自签名证书View服务器的证书可以在安装之前申请并安装好，也可以在View服务器部署好后再来替换掉自签名的证书，由于要用到connectionkeytool工具，本文先安装好connection服务器，然后再来替换自签名证书（1）、创建CSR证书请求文件A、证书请求文件生成keytool工具登录ConnectionServer服务器（connection要事先安装好），证书请求文件生成keytool工具路径在ConnectionServer安装目录C:\ProgramFiles\VMware\VMwareView\Server\jre\bin要在任意目录下执行keytool命令，可通过设置环境变量实现下图中，点击“Advancedsystemsetting（高级系统设置）”下图中，点击“EnvironmentVariables（环境变量）”下图中，点击“New”下图中，输入变量名：PATH变量值中填入Keytool所在的路径（C:\ProgramFiles\VMware\VMwareView\Server\jre\bin）建议证书的路径放在同一目录操作，C:\ProgramFiles\VMware\VMwareView\Server\sslgateway\conf注意：以下操作都是基于该目录B、执行keytool命令生成pkcs12密钥文件keytool-genkey-keyalgRSA-keystorekeys.p12-storetypepkcs12-validity360-keysize2048C、keytool来创建CSR，命令如下keytool-certreq-keyalgRSA-filecertificate.csr-keystorekeys.p12-storetypepkcs12-storepass123456（该密码是上图中设置的密钥口令）（2）、发送到CA申请connection服务器证书用记事本打开certificate.csr（在C:\ProgramFiles\VMware\VMwareView\Server\sslgateway\conf目录下），复制下图中的全部内容在connection服务器上用浏览器登录CA证书服务器，下图中，点击“RequestaCertificate（申请证书）”下图中，点击“advancedcertificaterequest（高级证书申请）”下图中，点击“Submitacertificaterequestbyusingabas