1.在企業內部安裝的根CA上創建vsphere5.5證書模板
登錄證書服務器,打開證書管理控制檯,右擊“證書模板”->“管理”
右擊“web服務器”選擇“複製模板”
選擇”windows Server2003 Enterprise”實現最大兼容性
在“擴展”選項中選擇“應用程序策略”->“添加”選擇“客戶端身份驗證”
同時編輯“密鑰用法”,勾選“數字簽名爲原件的證明”和“允許使用用戶數據加密”
可頒發的證書裏需要添加新建模板,選擇 vSphere-Cert按 OK 完成。
查看添加的模板是否正確
2.創建證書請求文件CSR,向CA申請證書CRT,創建證書鏈PEM:
運行vCenter安裝包,選擇“vCenter證書自動化工具”->瀏覽:
將工具ssl-certificate-updater-tool-1308332.zip解壓到路徑c:\certool(可自定義):
1)創建證書請求文件CSR:
執行解壓出來的批處理文件ssl-updater.bat,選擇“2”:
選擇各個組件,創建各自的證書請求文件:
執行完後,在工具目錄requests下生成相應的目錄及證書請求文件:
打開 http://Root_CA IP地址/Certsrv下載 CA 根證書 ,Base64編碼,保存在C: \certool\Root64.cer,並導入到受信任的證書頒發機構/本地計算機裏。要安裝由該 CA 頒發的證書,需要導入CA 根證書 ,以信任根CA.
2)使用以下命令行獲取證書.CRT:
Cd C:\certool\requests\vCenterSSO-NIP-VC01
Certreq –submit –config “NIP-S-CA.***.com.cn\NIP-S-CA” -attrib “CertificateTemplate:vSphere-Cert” rui.csr rui.crt
依次執行:
3)創建PEM文件:
證書 CRT和密鑰KEY創建完成之後 ,你必須創建 PEM證書鏈用於每個證書,證書鏈包含所有證書,以朝向 CA 根證書的順序組成。注意 :如果證書順序錯誤 ,將會導致失敗。
(1) 複製下載好的CA根證書Root64.cer到各個c:\certool\requests\Component-hostname
(2) 使用copy source1.file+source2.file target.file命令合併rui.crt+Root64.cer=chain.pem
Cd C:\certool\requests\vCenterSSO-NIP-VC01
copy rui.crt+root64.cer chain.pem
(3) 重複步驟2,完成所有組件pem文件生成
(4) 使用記事本打開生成的chain.pem文件,刪除最後一行的->字符,保存
4.替換vCenter5.5組件證書:
1)執行ssl-updater.bat選擇1,顯示需要升級的順序:
2)選擇需要升級的組件,升級所有組件需要16步之多,輸入9返回,開始升級
按順序完成所有組件(如果所有組件都有安裝)的升級:
出錯了:
2017/04/18 週二 - 20:40:23.96]: Last operation update the Log Browser SSL certificate failed :
[2017/04/18 週二 - 20:40:23.97]: Certificates were reverted, but tool was not able to unregister and register the LogBrowser with Single Sign-On and lookup Service, the error code is 1