【vSphere 8 自签名 VMCA 证书】企业 CA 签名证书替换 vSphere VMCA CA 证书Ⅲ—— 颁发自签名与替换 VMCA 证书

目录

    • 5. 使用 Microsoft 证书颁发机构颁发自签名 CA 证书链
      • 5.1 登录MADCS
      • 5.2 申请证书
      • 5.3 选择证书类型
      • 5.4 提交CR
      • 5.5 下载 Base 64 编码的证书
      • 5.6 将证书链传入VC
    • 6. 使用 企业CA签发的 VMCA 证书 替换 vSphere 默认 VMCA 证书
      • 6.1 确认证书文件
      • 6.2 替换默认 vSphere 证书
      • 6.3 验证自签名证书
  • 关联博文
  • 参考资料

博文主要描述了如何在 Windows Server 2019 中使用 Microsoft 证书颁发机构颁发适用于 vSphere 7.x 和 8.x 版本的自签名 VMCA 证书以及在 vCenter Server 8 上通过实用工具 certificate-manager 将 vSphere 默认VMCA CA 证书替换为 企业 CA 自签名证书。适用的 vSphere 版本为 vSphere 7.0.x 和 vSphere 8.0.x。

5. 使用 Microsoft 证书颁发机构颁发自签名 CA 证书链

申请前确保Windows Server IIS服务正常开启80端口。

5.1 登录MADCS

打开并登录 Microsoft Active Directory Certificate Services 页面

在这里插入图片描述

5.2 申请证书

点击【Request a certificate】

在这里插入图片描述

5.3 选择证书类型

选择【advanced certificate request】

在这里插入图片描述

5.4 提交CR

将使用certificate-manager创建的CSR内容粘贴到Saved Request下。vmca_issued_csr.csr文件内容

在这里插入图片描述

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

然后选择刚才创建的 vSphere 8.x for VMCA 模板,点击 Submit.

在这里插入图片描述

5.5 下载 Base 64 编码的证书

选中 Base 64 encoded,先点击 Download certificate chain,下载的文件名为 certnew.p7b,将其重命名为 cachain.p7b

在这里插入图片描述

上图p7b尚未修改名称。

5.6 将证书链传入VC

这里我们使用WinSCP进行传送。将cachain.p7b传入VC的 /root/vmca

在这里插入图片描述

6. 使用 企业CA签发的 VMCA 证书 替换 vSphere 默认 VMCA 证书

6.1 确认证书文件

SSH 到 VCSA 中,cd 到 /root/vmca 目录,此时该目录存在3个文件

在这里插入图片描述

cachain.p7b转换为 cachain.cer

openssl pkcs7 -print_certs -in cachain.p7b -out vmca_issued.cer

再次查看 /root/vmca 目录,此时该目录存在4个文件

在这里插入图片描述

需要用到的是

  • 自签名根证书链:vmca_issued.cer
  • 自定义密钥:vmca_issued_key.key

6.2 替换默认 vSphere 证书

再次使用certificate-manager工具替换默认证书

root@vc7-3 [ ~ ]# /usr/lib/vmware-vmca/bin/certificate-manager_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|                                                                     ||      *** Welcome to the vSphere 8.0 Certificate Manager  ***        ||                                                                     ||                   -- Select Operation --                            ||                                                                     ||      1. Replace Machine SSL certificate with Custom Certificate     ||                                                                     ||      2. Replace VMCA Root certificate with Custom Signing           ||         Certificate and replace all Certificates                    ||                                                                     ||      3. Replace Machine SSL certificate with VMCA Certificate       ||                                                                     ||      4. Regenerate a new VMCA Root Certificate and                  ||         replace all certificates                                    ||                                                                     ||      5. Replace Solution user certificates with                     ||         Custom Certificate                                          ||         NOTE: Solution user certs will be deprecated in a future    ||         release of vCenter. Refer to release notes for more details.||                                                                     ||      6. Replace Solution user certificates with VMCA certificates   ||                                                                     ||      7. Revert last performed operation by re-publishing old        ||         certificates                                                ||                                                                     ||      8. Reset all Certificates                                      ||_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|
Note : Use Ctrl-D to exit.
Option[1 to 8]: 2
Do you wish to generate all certificates using configuration file : Option[Y/N] ? : YPlease provide valid SSO and VC privileged user credential to perform certificate operations.
Enter username [Administrator@vsphere.local]:
Enter password:
certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ? : YPress Enter key to skip optional parameters or use Previous value.Enter proper value for 'Country' [Previous value : CN] :Enter proper value for 'Name' [Previous value : CA] :Enter proper value for 'Organization' [Previous value : VMware] :Enter proper value for 'OrgUnit' [optional] : GSSEnter proper value for 'State' [Previous value : Beijing] :Enter proper value for 'Locality' [Previous value : Beijing] :Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] : 192.168.1.3Enter proper value for 'Email' [Previous value : email@acme.com] :Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : vc7-3.yz.localEnter proper value for VMCA 'Name' :vc7-3.yz.local1. Generate Certificate Signing Request(s) and Key(s) for VMCA Root Signing certificate2. Import custom certificate(s) and key(s) to replace existing VMCA Root Signing certificateOption [1 or 2]: 2Please provide valid custom certificate for Root.
File : /root/vmca/vmca_issued.cerPlease provide valid custom key for Root.
File : /root/vmca/vmca_issued_key.keyYou are going to replace Root Certificate with custom certificate and regenerate all other certificates
Continue operation : Option[Y/N] ? : Y
Status : 100% Completed [All tasks completed successfully]

在这里插入图片描述在这里插入图片描述

此时 VMCA 根证书的更新状态是100%成功完成。

6.3 验证自签名证书

登录 vSphere Client,Menu > Administration > Certificastes > Certificate Management,找到 VMware Certificate Authority,查看 VMCA_ROOT_CERT 的信息,点击VIEW DETAILS

在这里插入图片描述

同时 Machine SSL Certificate 证书也被刷新

在这里插入图片描述

关联博文

1.企业 CA 签名证书替换 vSphere VMCA CA 证书Ⅰ—— 生成 CSR
2.企业 CA 签名证书替换 vSphere VMCA CA 证书Ⅱ—— 创建和添加证书模板
3.企业 CA 签名证书替换 vSphere VMCA CA 证书Ⅲ—— 颁发自签名与替换 VMCA 证书

参考资料

博文封面图片来自: https://blogs.vmware.com/vsphere/2019/06/10-things-about-vsphere-certificate-management.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/190735.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Gateway网关--java

网关是建立于请求到服务之前的,可以用网关限制访问量,添加过滤等 创建网关模块,引入相关pome依赖 配置yml 具体相关的作用可以参考 Spring Cloud Gateway 这样就可以了 基础的网关配置,我们的实现效果 我们可以通过10010端口访问,通过转发到nacos,再找到相应的模块,实现…

CAPL通过ethernetPacket发送以太网报文

文章目录 ethernetPacketCANoe帮助文档车载以太网协议函数CAPL通过ethernetPacket发送以太网报文例子ethernetPacket CANoe中,ethernetPacket类似于CAN的message. CANoe帮助文档 CANoe的帮助文档是很好的学习资料,后面会结合CANoe帮助文档来介绍车载以太网的相关内容。 车…

【深度学习】性能监控

性能监控 判断系统,然后再监控程序运行期间机器的性能 import psutil import matplotlib.pyplot as plt import time import matplotlib import subprocess import platform import os try:import GPUtilimport pynvml except ImportError as e:print(f"导入…

2023年12月3日支付宝蚂蚁庄园小课堂今日答案是什么?

问题:雪天行车,路面会有不少前车行驶的轨迹,最好? 答案:顺着前车轨迹行驶 解析:雪天路面湿滑,而且可能有冰雪等堆积物遮盖路面,所以,最好顺着前车轨迹减速慢行&#xf…

Asp.Net Core Web Api内存泄漏问题

背景 使用Asp.Net Core Web Api框架开发网站中使用到了tcp socket通信,网站作为服务端开始tcp server,其他的客户端不断高速给它传输信息时,tcp server中读取信息每次申请的byte[]没有得到及时的释放,导致内存浪费越来越多&#…

frp实现内网穿透(多端口穿透)

frp实现内网穿透 准备一个公网服务器(腾讯、阿里、华为的云服务器) 下载frp的安装包 下载对应系统的安装包,不要下错文件。 注意amd对应x86架构的系统 arm对应 arm架构系统(macos) 点击下载 查看文档将对应的安装包放…

设计模式-结构型模式之适配器设计模式

文章目录 一、结构型设计模式二、适配器模式 一、结构型设计模式 这篇文章我们来讲解下结构型设计模式,结构型设计模式,主要处理类或对象的组合关系,为如何设计类以形成更大的结构提供指南。 结构型设计模式包括:适配器模式&…

dockerfile指令学习

进入容器内部有2种方法。 1 docker run -it centos bash 退出后容器会挂了。 2 docker run -d --name my_nginx --restartalways -p 8989:80 nginx docker exec -it my_nginx bash --restartalways表示ngix挂了后会自动重启, -P 随机映射一个端口 dockerfile可以根…

flask 请求勾子实现 request_auth认证

from flask import g,request from comment.utils.tokens_pyjwt import verify_tokensdef jwt_request_auth():从请求(request)中获取token,并且验证token,验证成功之后把用户id保存到全局变量g中g.user_idNone #定义变量#前端代码是是把token携带请求头…

Visual Studio Code之自动补全的设置

步骤:1、打开Visual Studio Code;2、找到c_cpp_properties.json文件;3、将原来文件的内容清空,复制以下内容到此文件中即可; {"configurations": [{"name": "Linux","includePath…

基于Spring、SpringMVC、MyBatis的网上服装销售系统

文章目录 项目介绍主要功能截图:部分代码展示设计总结项目获取方式🍅 作者主页:超级无敌暴龙战士塔塔开 🍅 简介:Java领域优质创作者🏆、 简历模板、学习资料、面试题库【关注我,都给你】 🍅文末获取源码联系🍅 项目介绍 基于Spring、SpringMVC、MyBatis的网上服…

Unity对接后台和加载图片

1、前言 在unity中与后台对接,用await在web端暂时还不支持,所以,协程成为比较好的通用方式,以下适用除post访问外的所有对接 2、对接后台 2.1、安装插件 首先我们需要用到Newtonsoft.dll,如果没有这个.dll的请跟着我…

C++-火车编组

Description 货运火车要在编组站根据挂常车厢到达目的地重新分组。 如果一列火车有4节车厢,经过编组后,车厢的编组顺序为3,2,4,1,你知道编组站是怎么编组的吗? 小明到编组站参观后发现编组站的铁路有很多岔道,火车在岔道上来来回回地开动…

Linux随记(七)

一、欧拉bclinux 21.10安装zabbix-5.0.37.tar.gz (zbx-客户端) #系统环境: BigCloud Enterprise Linux For Euler 21.10 LTS #软件信息: zabbix-5.0.37.tar.gz , pcre-devel-8.44-2.oe1.x86_64.rpm , inst…

LED屏幕信息安全如何预防?

随着科技的不断进步,LED屏幕在我们生活和工作中扮演着越来越重要的角色,然而,随之而来的是信息安全面临的挑战。为了有效预防LED屏幕信息的泄露和被盗取,我们需要采取一系列的安全措施。以下是一些建议: 物理安全措施&…

用C++和python混合编写数据采集程序?

之前看过一篇文章,主要阐述的就是多种语言混合编写爬虫程序,结合各种语言自身优势写一个爬虫代码是否行得通?觉得挺有意思的,带着这样的问题,我尝试着利用我毕生所学写了一段C和python混合爬虫程序,目前运行…

对于Windows就是找不到 环境变量 的解决

我认为将“我的电脑”从桌面上隐藏掉纯粹是傻逼行为 说下解决办法: 1. 找到文件资源管理器, 2. 右键点击“此电脑” -- 选择属性: 3. 进入属性界面,应该进入的是“关于”界面:选择“高级系统设置”: 4. 终…

ssm+vue的罪犯信息管理系统(有报告)。Javaee项目,ssm vue前后端分离项目。

演示视频: ssmvue的罪犯信息管理系统(有报告)。Javaee项目,ssm vue前后端分离项目。 项目介绍: 采用M(model)V(view)C(controller)三层体系结构&…

STM32---MDK工程创建

本节我们带领大家学习如何新建一个寄存器库版本MDK的详细步骤; 由于51单片机的学习时,所涉及的寄存器很少,所以往往几个头文件、驱动文件就可以完成相关的功能,但是对于STM32来讲,涉及的寄存器、头文件等都很多&#…

导入seaborn的数据集方法load_datasets的问题

sns.load_dataset使用报错解决URLError: <urlopen error [Errno 11004] getaddrinfo failed>(windows)) import seaborn as sns import matplotlib.pyplot as plt ​ # 使用Seaborn自带的数据集 tips sns.load_datas…