jpolisher's IT-wiki

User Tools

Site Tools

Trace: ad._dns-сервер_не_запускается_2008_r2 коннекторы_подключения транспортные_агенты_exchange развёртывание_vcenter общие_полезные_команды_debian форматы_логинов_exchange резервное_копирование_vcenter проблемы_и_решения_ghost управление_почтовыми_очередями деплой_образов
генерация_сертификатов_vcenter

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
генерация_сертификатов_vcenter [2023/12/20 09:08] jpгенерация_сертификатов_vcenter [2023/12/21 16:02] (current) jp
Line 17: Line 17:
  
 === Формирование запроса === === Формирование запроса ===
 +
 +Заходим в vCenter в раздел //Administration -> Certificate Management//. Добавляем доверенные корневые центры и создаём запрос CSR для сертификата машины (//Machine SSL Certificate// -> //Generate Certificate Signing Request//). 
 +
 +;#;
 +{{::vcenter_certs_replace.jpg?600|}}
 +;#;
 +
 +В CSR заполняем //common name//, равное FQDN vCenter, так же заполняем FQDN в поле //host//. В SAN записываем ВСЕ возможные имена vCenter и на всякий случай его IP.
 +
 +;#;
 +{{::vcenter_machine_cert_csr.jpg?600|}}
 +;#;
 +
 +Копируем CSR в файл и подписываем его шаблоном, сгенерированным ранее на УЦ. Как подписать запрос конкретным шаблоном описано в статье: [[сертификат из запроса с указанием шаблона]].
 +
 +**Замена сертификата**
 +
 +:!: //Перед заменой сертификата желательно сделать резервную копию vCenter. В определенных случаях возникали проблемы с тем, что службы vCenter не стартовали вообще.//
 +
 +Снова идём в //certificate management// и выбираем опцию //import and replace//, а дальше отмечаем, что собираемся заменить сертификат изданным в другом УЦ, CSR-запрос на который сгенерировал vCenter. Это показано на скриншоте.
 +
 +{{::vcenter_cert_replace.jpg|}}
 +
 +Далее вставляем сертификат, сгенерированный для vCenter нашим УЦ - в формате base-64, а также сертификаты всей цепочки доверия УЦ, выдавшего нам сертификат. Цепочка должна быть сформирована следующим образом: сначала идёт издающий УЦ, далее идёт корневой (обратный порядок). Между сертификатами не должно быть пустых строк, т.е. соединяются они следующим образом:
 +
 +<code>
 +-----END CERTIFICATE-----
 +-----BEGIN CERTIFICATE-----
 +</code>
 +
 +Если всё сделано верно - vCenter установит сертификаты и перезагрузит страницу в браузере. 
 +
 +:!: //На всякий случай стоит перезагрузить vCenter и проверить - всё ли ОК.//
 +
 +=== Решение проблем ===
 +
 +Если с сертификатами что-то не так, а веб-морда vSphere не стартует - можно воспользоваться консольной утилитой управления сертификатами. Запустить её можно следующим образом:
 +
 +   /usr/lib/vmware-vmca/bin/certificate-manager
 +{{tag>VMWare VM VCenter VSphere Certificates PKI ADCS}}
генерация_сертификатов_vcenter.1703063315.txt.gz · Last modified: 2023/12/20 09:08 by jp