vSphere 6 与 View 6.1.1 替换自签名证书指南

VMwarev Center 6 和 View 6.1.1 替换自签名证书指南

一、 概述

可以使用 vSphere 证书管理器实用程序将所有证书替换为自定义证书。开始此过程之前，必须向您的 CA 发送 CSR。您可以使用证书管理器生成 CSR。

一个方法是仅使用 VMCA 置备的解决方案用户证书替换计算机 SSL 证书。解决方案用户证书仅用于 vSphere 组件之间的通信。

二、 vSphere 6.0中将解决方案用户证书替换为自定义证书

如果选择此选项，则 vSphere 证书管理器会提示您为现有解决方案用户证书替换证书。在多节点部署中，使用此选项运行 vSphere 证书管理器以替换 Platform Services Controller 上的计算机解决方案用户证书，以及每个管理节点上的整组解决方案用户。

开始之前，您需要为环境中的每个计算机生成一个 CSR。您可以使用 vSphere 证书管理器生成 CSR 或明确生成 CSR。

1、使用 vSphere 证书管理器生成证书签名请求CSR（自定义证书）。

（1）、创建vSphere 6证书模板

本文使用windows server 2012 R2的CA证书颁发机构，已经创建好了企业根CA。

用域管理员登录证书服务器，打开“Certification Authority（证书颁发机构）”

下图中，右键点击“Certificate Templates（证书模板）”，选择“Manage（管理）”

下图中，右键点击“Web Server”，选择“Duplicate Template（复制模板）”

下图中，在“Certification Authority”下来菜单中，选择“windows server 2003”，最好的兼容性

下图中，在“General（常规）”选项卡下输入模板的名称

下图中，点击“Extensions（扩展）”选项卡，双击“Application Policies（应用策略）”，

下图中，点击“Server Authentication（服务器身份验证）”，点击“Remove（删除）”

下图中，双击“Key Usage（密钥用法）”

下图中，勾选“Signature is proof of origin（nonrepudiation）【数字签名为原件的证明（认可）】”，其余保持默认，点击OK

下图中，点击“Subject Name（使用者名称）”选项卡，确保“Supply in the request

（在请求中提供）”被选中

点击OK，保存模板

创建一个新的模板用于VMCA下属CA

下图中，右键点击“Subordinate Certification Authority（从属证书颁发机构）”，选择“Duplicate Template（复制模板）”

下图中，兼容性选择windows server 2003

下图中，点击“General（常规）”选项卡，输入名称，勾选“Publish certificate in Active Directory（在活动目录发布证书）”

下图中，选中“Extensions（扩展）”选项卡，选中“Key Usage（密钥用法）”，点击“Edit（编辑）”

下图中，勾选“Digital Signature（数字签名）”、“Certificate signing（证书签名）”和“CRL signing（CRL签名）”，勾选“Make this extension critical（是这个扩展成为关键）”

下图中，回到Certification Authority（证书颁发机构），右键点击“Certificate Templates（证书模板）”，选择“New”——“Certificate Template to Issue（要颁发的证书模板）”

下图中，选中“vSphere 6.0”和“vSphere 6.0 VMCA”，点击OK

下图中，完成证书模板创建

（2）、创建证书请求文件CSR

使用vSphere 6.0证书管理器来生成CSR文件

vSphere 6.0证书管理器certificate-manager.bat所在的路径

Windows C:\\Program Files\\VMware\\vCenter Server\\vmcad\\certificate-manager.bat

Linux /usr/lib/vmware-vmca/bin/certificate-manager.bat

登录vCenter服务器，找到certificate-manager.bat

下图中，以管理员身份运行certificate-manager.bat文件，选择5，生成所有解决方案用户的CSR文件

下图中，要求输入SSO密码，然后再输入1，生成CSR

下图中，输入CSR保存路径，本文为c:\\SSL\\all

下图中，CSR文件创建完成，输入2，退出

在每个 vCenter Server 节点上，证书管理器生成四个证书和密钥对。如下图所示

（3）、在VMware vCenter Server Appliance 6.0（VCSA6.0）中创建请求文件CSR

在VCSA中打开SSH

下图中，选中“Troubleshooting Mode Options”

下图中，分别在“Enable BASH Shell”和“Enable SSH”上回车

下图中，使用PuTTY登录VCSA

下图中，输入shell 进入命令行模式

VCSA 6.0证书管理器certificate-manager.bat所在的路径

/usr/lib/vmware-vmca/bin

命令：certool --initcsr

生成证书签名请求 (CSR)。此命令可生成 PKCS10 文件和专用密钥。

命令格式：

certool --initcsr --privkey= --pubkey= --

csrfile=

2、发送到CA申请vCenter服务器证书

在vCenter服务器上登录CA证书服务器，点击“Request a certificate（申请证书）”

下图中，点击“advanced certificate request（高级证书申请）”

下图中，点击“Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file”

用记事本打开上文的machine.csr

下图中，拷贝machine.csr证书申请内容，并选择vSphere 6.0证书模板，点击“Submit（提交）”

下图中，勾选“Base 64 encoded”，点击“Download certificate（下载证书）”

下图中，保存文件名为machine-certnew.cer

重复上述步骤，把所有组件的证书申请好，如下图所示

3、下载CA证书链

下图中，点击“Download a CA certificate，certificate chain，or CRL”

下图中，勾选“Base 64”,点击“Download CA certificate chain（下载CA证书链）”

下图中，保存文件命名为cachain.p7b

双击cachain.p7b文件，打开下图所示窗口，选中“Certificares”，在右边窗口中右键点击“imt-CA-CA-1”,选中“All Tasks（所有任务）”——“Export（导出）”

下图中，勾选“Base-64 encoded X.509 (.CER)”

下图中，保存文件名为：Root64.cer

4、将解决方案用户证书替换为自定义证书

启动 vSphere 证书管理器，输入“5”

下图中，输入SSO密码后，输入“2”

下图中，输入上文申请好的machine的证书“machine-certnew.cer”的路径

下图中，输入machine的Key文件的路径

下图中，输入vsphere-webclient的证书“vsphere-webclient-certnew.cer”的路径

下图中，输入输入vsphere-webclient的key文件路径

下图中，输入vpxd的证书“vpxd-certnew.cer”的路径

下图中，输入vpxd的key文件路径

下图中，输入vpxd-extension的证书“vpxd-extension-certnew.cer”的路径

下图中，输入vpxd-extension的key文件路径

下图中，输入上文创建的Root64.cer证书文件的路径

三、View 6.1.1 替换自签名证书

1、创建View 6证书模板

在CA服务器上，打开“Certification Authority（证书颁发机构）”，在下图中，右键点击“Certificate Templates（证书模板）”，点击“Manage（管理）”

下图中，右键点击“Web Server”，选择“Duplicate Template（复制模板）”

下图中，点击“General（常规）”选项卡，输入模板名称

下图中，点击“Request Handling（请求处理）”选项卡，勾选“Allow private key to be exported（允许导出私钥）”

下图中，点击“Security（安全）”选项卡，给Authenticated Users和Administrator添加“Write（写入）”和“Enroll（注册）”权限

下图中，右键点击“Certificate Templates（证书模板）”，点击“New”——“Certificate Template to Issue（要颁发的证书模板）”

下图中，选中上面创建的“view-cert”模板

下图中，看见“view-cert”模板已经颁发好了

2、替换View connection连接服务器自签名证书

View服务器的证书可以在安装之前申请并安装好，也可以在View服务器部署好后再来替换掉自签名的证书，由于要用到connection keytool工具，本文先安装好connection服务器，然后再来替换自签名证书

（1）、创建CSR证书请求文件

A、证书请求文件生成keytool工具

登录Connection Server服务器（connection要事先安装好），证书请求文件生成keytool工具路径在Connection Server安装目录C:\\Program Files\\VMware\\VMware View\\Server\\jre\\bin

要在任意目录下执行keytool命令，可通过设置环境变量实现

下图中，点击“Advanced system setting（高级系统设置）”

下图中，点击“Environment Variables（环境变量）”

下图中，点击“New”

下图中，输入变量名：PATH 变量值中填入Keytool所在的路径（C:\\Program Files\\VMware\\VMware View\\Server\\jre\\bin）

建议证书的路径放在同一目录操作，C:\\Program Files\\VMware\\VMware View\\Server\\sslgateway\\conf

注意：以下操作都是基于该目录

B、执行keytool命令生成pkcs12密钥文件

keytool -genkey -keyalg \"RSA\" -keystore keys.p12 -storetype pkcs12 -validity 360 -keysize 2048

C、keytool来创建CSR，命令如下

keytool -certreq -keyalg \"RSA\" -file certificate.csr -keystore keys.p12 -storetype pkcs12 -storepass 123456（该密码是上图中设置的密钥口令）

（2）、发送到CA申请connection服务器证书

用记事本打开certificate.csr（在C:\\Program Files\\VMware\\VMware

View\\Server\\sslgateway\\conf目录下），复制下图中的全部内容

在connection服务器上用浏览器登录CA证书服务器，下图中，点击“Request a Certificate（申请证书）”

下图中，点击“advanced certificate request（高级证书申请）”

下图中，点击“Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file”

下图中，拷贝certificate.csr证书申请内容，并选择view-cert证书模板，点击“Submit（提交）”

下图中，点击“Download certificate（下载证书）”，下载的证书名称为“certnew.cer”

把

该

证

书

保

存

到

C:\\Program

Files\\VMware\\VMware

View\\Server\\sslgateway\\conf目录中

（3）、将申请好的证书转换为PKCS#12格式

双击上文下载的证书文件certnew.cer，点击“Details（详细信息）”——“Copy to File（复制到文件）”

下图中，勾选“Cryptographic Message Syntax Standard –PKCS #7 Certificate（.P7B）(加密信息语法标准-PKCS #7 证书)”，勾选“Include all certificates in the certification path if possible（如果可能，则数据包括证书路径中的所有证书）”

下图中，导出文件名为certnew.p7b

保存在C:\\Program Files\\VMware\\VMware View\\Server\\sslgateway\\conf目录中

（4）、导入签名证书到密钥文件，命令如下：

keytool -importcert -keystore keys.p12 -storetype pkcs12 -storepass 123456 -keyalg \"RSA\" -trustcacerts -file certnew.p7b

出现下图所示，输入“y”

（5）、创建locked.properties 文件

在C:\\Program Files\\VMware\\VMware View\\Server\\sslgateway\\conf目录下建立locked.properties 文件

内容如下

keyfile=keys.p12

keypass=密码

storetype=pkcs12

（6）、把keys.p12导入到本地计算机证书

打开connection服务器上的控制台

下图中，点击“Add/Remove Snap-in（添加/删除管理单元）”

下图中，双击“certificates（证书）”

下图中，选择“Computer account（计算机账户）”

下图中，勾选“Local computer（本地计算机）”

导入keys.p12

下图中，点击“Personal（个人）”，右键点击“Certificates（证书）”，选择“All Tasks（所有任务）”，点击“Import（导入）”

下图中，keys.p12文件的目录是C:\\Program Files\\VMware\\VMware View\\Server\\sslgateway\\conf

下图中，输入密码123456，一定要勾选“Mark this key as exportable……（标志此密钥为可导出的密钥）”

（7）、修改证书友好名称,导入根CA信任

导入后，在个人证书中有三个证书，如下图所示，第三个证书是根CA信任证书,第一个是通过CA申请到的SSL证书,第二个是view自签名证书，将view自签名证书的友好名称修改成其他名称，通过CA申请到的SSL证书的友好名称改为vdm

右键点击第二个证书，点击properties（属性），弹出如下对话框，修改友好名称为mykey

右键点击第一个证书，点击properties（属性），弹出如下对话框，修改友好名称为vdm

下图中，证书修改好了友好名称

（8）、最后重启connection服务器

（9）、测试

下图中，使用view client登录connection服务器

登录view administrator看到connection服务器证书没有问题

3、替换View composer服务器自签名证书

创建CSR证书请求文件，可以采用connection服务器的keytool工具来生成。

把connection服务器安装目录C:\\Program Files\\VMware\\VMware View\\Server下的整个jie文件夹全部复制到composer服务器上来，存放在C盘自建的SLL文件夹下

接下来的步骤和connection服务器步骤一样

安装composer时可以选择这个申请的SSL证书，如下图所示