通过VMware SDDC Certificate Tool更换相关产品SSL证书

Posted 2021-09-26 zbw0752

说明：

VMware 产品替换 SSL 证书是一个手动且耗时的过程。SDDC Certificate Tool可自动执行此工作流程，并使整个 SDDC 中的证书保持最新状态变得容易。它将替换受支持产品中的所有证书并重新建立组件之间的信任。

支持的产品：

产品	最低版本	最高版本
VMware Platform Services Controller (PSC)	6.0 U2	6.7
VMware vCenter Server (VC)	6.0 U2	6.7
VMware NSX for vSphere (NSX)	6.2.4	6.4.1
vRealize Log Insight (vRLI)	3.6	4.6
vRealize Operations Manager (vROps)	6.3	6.7
vRealize Automation (vRA)	7.4	7.4
vRealize Business for Cloud (vRB)	7.1	7.4

要求：

运行 Java 1.8+ 的 PhotonOS 或 Linux 

x509 格式的证书文件 (.cer) 

x509 格式的证书链 (.cer) 

下载链接：

​​https://flings.vmware.com/sddc-certificate-tool​​​​​​

下面以Centos部署SDDC Certificate Tool和更换vCenter证书为例：

​

步骤一：部署Centos 7虚拟机并安装Java 1.8

yum install -y java-1.8.0-openjdk

步骤二：上传并安装RPM包

rpm -ivh cert-mgmt-1.0.0-10253169.noarch.rpm

步骤三:进入/opt/vmware/cert-mgmt/config查看配置文件

文件	描述
config-all-products.json	All supported products supported by SDDC Certificate Tool with CSRgeneration code.
config-csr.json	Two-member external PSC and one vCenter that need CSR generationand replacement.
embedded-psc-vcenter.json	Embedded PSC and vCenter instance that requires a certificatereplacement.
nsx+vc.json	NSX and VC with Embedded PSC but only the certificate on NSX needsreplacement.
psc+vc.json	Two-member external PSC with one vCenter that all requirereplacement.

步骤四：上传签名证书到 Linux 服务器证书路径或使用SDDC Certificate Tool生成证书

java -jar /opt/vmware/cert-mgmt/lib/certreplace-1.0.0.jar -c /opt/vmware/cert-mgmt/config/embedded-psc-vcenter.json -createcsr -passwordEntry

步骤五：查看embedded-psc-vcenter.json并修改对应配置包含证书路径

步骤六：运行证书替换命令

java -jar /opt/vmware/cert-mgmt/lib/certreplace-1.0.0.jar -c /opt/vmware/cert-mgmt/config/embedded-psc-vcenter.json -replacecert -passwordEntry

步骤七：检查证实是否替换完成