產生憑證請求 CSR
透過 SSH 連進 vCenter 並使用 root 帳號登入
為了稍後能透過 SCP 連入取檔,輸入以下指令
chsh -s /bin/bash root
接著啟動證書管理器
/usr/lib/vmware-vmca/bin/certificate-manager
選擇 選項#2 以自訂憑證替換 VMCA 及其他所有憑證
接下來會詢問是否配置設定檔時,輸入 Y
內容設定完畢後選擇 選項#1 為 VMCA 生成憑證請求書及密鑰
儲存路徑 /root (此處可任意修改,亦可自行創建目錄位置存放)
完成後將得到兩個檔案
⚫ vmca_issued_csr.csr – 這是憑證請求書 CSR,我們將透過此文件申請自發憑證
⚫ vmca_issued_key.key – 這是對應 CSR 產生的密鑰,在匯入憑證時會使用到
申請憑證
使用 SCP 將 CSR 文件取出到本機端,此處使用 WinSCP 工具操作
連進我們 Micoresoft 憑證申請網站,並依照請求登入網域帳號
登入後,選擇 要求憑證
再選擇 進階憑證要求
將取出來的 CSR 文件以純文字格式開啟,並複製全部的內容貼上 Base 64 編碼的欄位
範本選擇 附屬憑證授權單位
點擊 提交 之後選擇 Base 64 編碼,並下載憑證及憑證鏈結
下載完成後將得到以下兩個檔案
⚫ certnew.cer – 這是 VMCA 需要安裝用的機器憑證
⚫ certnew.p7b – 這是憑證鏈,裡面有我們需要的根憑證,需要將根憑證匯出成.cer
雙擊 certnew.p7b 打開,選根憑證點右鍵>所有工作>匯出
在憑證匯出精靈裡,一樣選擇 Base 64 編碼的 CER
下一步選擇儲存路徑並命名(範例 root.cer)完成匯出
準備新的憑證
首先創建一個空白文件並將附檔名命名為.cer (範例 full-chain.cer)
將剛得到的 certnew.cer、root.cer 以及 full-chain.cer 分別以文字格式打開,
然後將內文複製依照順序貼上 full-chain.cer 並儲存
完成後再透過 SCP 把檔案上傳到 VCSA
安裝憑證
我們回到 SSH 畫面,選擇選項#1 為 VMCA 根憑證匯入自訂憑證以及密鑰
如果畫面已關閉,可以再次啟動證書管理器選項#2
/usr/lib/vmware-vmca/bin/certificate-manager
並在詢問 certool.cfg 已存在是否重新設定時,輸入 N 然後選擇選項#2
第一個問題是輸入 我們上傳的憑證 cer (full-chain.cer)
第二個問題是輸入 前面生產 CSR 時同時生產的 key (vmca_issued_key.key)
然後輸入Y等待安裝 (安裝過程中即使有ERROR也請勿中斷)
檢視安裝結果
安裝完成後可到 vCenter Server 系統管理>憑證管理>VMCA_ROOT_CERT>檢視詳細資料
更新 ESXi 憑證
在 vCenter 中選擇要更新的 ESXi,右鍵點擊選擇憑證,先重新整理 CA 憑證再更新憑證
更新完成後可以到 ESXi 的設定>系統>憑證,檢視簽發者資訊是否有更新
