本文主要说说如何命令行替换掉VCSA 6.5的证书,流程如下:- a ^1 [' J# ?* ~ B1 }* E5 F d
2 o" G u0 A5 O6 Z) p+ \' H( l
1、首先进入到VCSA 6.5的命令行界面,如图所示,执行如下命令打开VCSA 6.5的证书管理器:9 M- v3 D4 A$ p
1
| #/usr/lib/vmware-vmca/bin/certificate-manager |
2、然后可以看到很多选项,这里根据我们的实际情况,选择第1个选项,输入字母1,之后,会弹出一堆内容让我们填写,这些内容是用于生成SSL证书所需要的CSR文件之前所需的CFG文件,这也是生成自定义证书的必经之路了。如图所示:-
E9 @. k" ?1 _. N& m* u& Q- l+ a% \, b' I, v1 ]9 r
填写完成后,就会自动生成两个文件,一个是用于向ADCS提交申请证书内容的CSR文件,一个则是SSL Key文件;! l7 Z/ H0 a. [; q' h$ y6 P
) U9 q1 x8 |$ f- r
3、下图就展示这两个文件,可以根据情况自己改名。这里的文件位置也是在第2步里自行制定的:/ D6 B- T( c ]
% k- |:
N4 x8 V. p9 m" a. o' }0 s7 \
1 m4 M6 Q8 T9 G9 j; |+ m
4、接下来自然是去到证书服务器里执行一个“Submit new request”了:
这个动作完成后,就来到下一步了;
5、http://cs/certsrv地址来到下图所示界面,将前文所生成CSR文件里的内容贴到图中的框里,然后模板选择第4步里 准备好的模板后,Submit:- B- A& c5 \
3 p/ m! Z1 T
6、几秒种后,就会来到下图所示界面,选择Base 64 encoded,然后下载Download certificate chain回来:) L" d# |# H- y5 i& v% c
0 g; P. Z8 {! ]0 }1 B
: M+ G7 j h5 o& U" _& Y. G# U2 L( [
7、打开下载到的p7b文件,然后如图所示点击Export:
5 E( m4 A/ d4 d
: n) S: ^7 G" P4 r8 @# A& X; s% w' f
8、选择Base-64 encoded X.509格式,将它导出:
) T3 ^" m c3 p
; d* ]4 r0 h0 e* P9、最后,将生成的那个xxx.cer文件利用WinSCP之类的工具传到VCSA 6.5的相关位置,然后按下图所示的2选项导入,根据提示分别填入讯息即可完成:, U2 i$ r
/ {6 C' W& c, q- [) h' L) \2 Z
10、等待几分钟时间后可以看到如下成功提示: D( Q. F
/ s6 |3 y+ k K8 h; G) i1 O. Y1 s) K
* U( ^: S: D2 @* ~! q2 y+ Z
此后,再次登录vCenter时,就可以看到代表安全的小锁4 \- w&
P0 _' y) L0 O' b3 e/ K+ ?
至此,就成功完成了这个工作啦。0 A* M1 L- s! A4 A2 P
' h5 K& a1 o9 n, T" x" A) j
补充说明:
1、有时候可能会出现类似0%这样的证书报错讯息时,如图所示:; i; F* K; o( y' J2 j) h% _4 F5 t
1
2
3
| Status: 0% completed [operation failed, performing automatic rollback]Error while replacing Machine SSL Cert, please see /var/log/vmware/vmcad/certificate-manager.log for more information. |
, t: X3 a) K* x9 a$ U J% R
2、这往往意味着还需要去到VCSA的CA管理里面将需要导入的证书Publish一下,那么,请执行如下命令:
1
| #/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --chain --cert Machine_Certificate.cer |
0 k& V: k1 J, {' n8 S' \# @" _5 y& P+ `
% _3 i6 t5 f5 W. [8 Y
备注:这里的“Machine_certificate.cer”是你要发布证书的路径;
No comments:
Post a Comment