替换vCenter Server 5.5 自签名证书

Posted 2020-09-12

1.在企业内部安装的根CA上创建vsphere5.5证书模板

登录证书服务器，打开证书管理控制台，右击“证书模板”->“管理”

右击“web服务器”选择“复制模板”

选择”windows Server2003 Enterprise”实现最大兼容性

在“扩展”选项中选择“应用程序策略”->“添加”选择“客户端身份验证”

同时编辑“密钥用法”，勾选“数字签名为原件的证明”和“允许使用用户数据加密”

可颁发的证书里需要添加新建模板,选择 vSphere-Cert按 OK 完成。

查看添加的模板是否正确

2.创建证书请求文件CSR,向CA申请证书CRT,创建证书链PEM：

 

运行vCenter安装包，选择“vCenter证书自动化工具”->浏览：

将工具ssl-certificate-updater-tool-1308332.zip解压到路径c:\certool（可自定义）:

1）创建证书请求文件CSR：

执行解压出来的批处理文件ssl-updater.bat，选择“2”：

选择各个组件，创建各自的证书请求文件：

执行完后，在工具目录requests下生成相应的目录及证书请求文件：

打开 http://Root_CA IP地址/Certsrv下载 CA 根证书 ,Base64编码，保存在C: \certool\Root64.cer,并导入到受信任的证书颁发机构/本地计算机里。要安装由该 CA 颁发的证书,需要导入CA 根证书 ,以信任根CA.

 

2)使用以下命令行获取证书.CRT:

 

Cd C:\certool\requests\vCenterSSO-NIP-VC01

Certreq –submit –config “NIP-S-CA.***.com.cn\NIP-S-CA”  -attrib “CertificateTemplate:vSphere-Cert” rui.csr rui.crt

依次执行：

3）创建PEM文件：

证书 CRT和密钥KEY创建完成之后 ,你必须创建 PEM证书链用于每个证书，证书链包含所有证书,以朝向 CA 根证书的顺序组成。注意 :如果证书顺序错误 ,将会导致失败。

(1) 复制下载好的CA根证书Root64.cer到各个c:\certool\requests\Component-hostname

(2) 使用copy source1.file+source2.file target.file命令合并rui.crt+Root64.cer=chain.pem

Cd C:\certool\requests\vCenterSSO-NIP-VC01

copy rui.crt+root64.cer chain.pem

(3) 重复步骤2，完成所有组件pem文件生成

(4) 使用记事本打开生成的chain.pem文件，删除最后一行的->字符，保存

 

4.替换vCenter5.5组件证书:

1)执行ssl-updater.bat选择1，显示需要升级的顺序:

2)选择需要升级的组件，升级所有组件需要16步之多，输入9返回，开始升级

按顺序完成所有组件（如果所有组件都有安装）的升级:

 

出错了：

2017/04/18 周二 - 20:40:23.96]: Last operation update the Log Browser SSL certificate failed :
[2017/04/18 周二 - 20:40:23.97]: Certificates were reverted, but tool was not able to unregister and register the LogBrowser with Single Sign-On and lookup Service, the error code is 1