替换vCenter Server 5.5 自签名证书

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了替换vCenter Server 5.5 自签名证书相关的知识,希望对你有一定的参考价值。

1.在企业内部安装的根CA上创建vsphere5.5证书模板

登录证书服务器,打开证书管理控制台,右击“证书模板”->“管理”

右击“web服务器”选择“复制模板”

选择”windows Server2003 Enterprise”实现最大兼容性

技术分享

在“扩展”选项中选择“应用程序策略”->“添加”选择“客户端身份验证”

技术分享

技术分享

同时编辑“密钥用法”,勾选“数字签名为原件的证明”和“允许使用用户数据加密”

技术分享

技术分享

可颁发的证书里需要添加新建模板,选择 vSphere-Cert按 OK 完成。

查看添加的模板是否正确

技术分享

2.创建证书请求文件CSR,向CA申请证书CRT,创建证书链PEM:

 

运行vCenter安装包,选择“vCenter证书自动化工具”->浏览:

技术分享

将工具ssl-certificate-updater-tool-1308332.zip解压到路径c:\certool(可自定义):

技术分享

1)创建证书请求文件CSR:

执行解压出来的批处理文件ssl-updater.bat,选择“2”:

技术分享

技术分享

选择各个组件,创建各自的证书请求文件:

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

执行完后,在工具目录requests下生成相应的目录及证书请求文件:

技术分享

打开 http://Root_CA IP地址/Certsrv下载 CA 根证书 ,Base64编码,保存在C: \certool\Root64.cer,并导入到受信任的证书颁发机构/本地计算机里。要安装由该 CA 颁发的证书,需要导入CA 根证书 ,以信任根CA.

技术分享

技术分享

技术分享

技术分享

技术分享

 

2)使用以下命令行获取证书.CRT:

 

Cd C:\certool\requests\vCenterSSO-NIP-VC01

技术分享

Certreq –submit –config “NIP-S-CA.***.com.cn\NIP-S-CA”  -attrib “CertificateTemplate:vSphere-Cert” rui.csr rui.crt

技术分享

依次执行:

技术分享

技术分享

3)创建PEM文件:

证书 CRT和密钥KEY创建完成之后 ,你必须创建 PEM证书链用于每个证书,证书链包含所有证书,以朝向 CA 根证书的顺序组成。注意 :如果证书顺序错误 ,将会导致失败。

(1) 复制下载好的CA根证书Root64.cer到各个c:\certool\requests\Component-hostname


(2) 使用copy source1.file+source2.file target.file命令合并rui.crt+Root64.cer=chain.pem


Cd C:\certool\requests\vCenterSSO-NIP-VC01

copy rui.crt+root64.cer chain.pem

技术分享

(3) 重复步骤2,完成所有组件pem文件生成

(4) 使用记事本打开生成的chain.pem文件,删除最后一行的->字符,保存

技术分享

 

4.替换vCenter5.5组件证书:

1)执行ssl-updater.bat选择1,显示需要升级的顺序:

技术分享

技术分享

技术分享

2)选择需要升级的组件,升级所有组件需要16步之多,输入9返回,开始升级

技术分享

技术分享

技术分享

按顺序完成所有组件(如果所有组件都有安装)的升级:

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

 

技术分享

出错了:

2017/04/18 周二 - 20:40:23.96]: Last operation update the Log Browser SSL certificate failed :
[2017/04/18 周二 - 20:40:23.97]: Certificates were reverted, but tool was not able to unregister and register the LogBrowser with Single Sign-On and lookup Service, the error code is 1

以上是关于替换vCenter Server 5.5 自签名证书的主要内容,如果未能解决你的问题,请参考以下文章

vCenter server 5.5的许可证能用在vCenter server 6.5上吗?

Vcenter server 5.5上传ISO镜像

如何从 ESXi 主机更改 vCenter Server Appliance (5.5) vm 的配置?

vSphere Web Client无法连接vCenter Server问题(5.5)

vCenter server 5.5中添加ESXi5.5主机并分配许可密钥

Vcenter server 5.5添加用户角色及分配权限