This is an old revision of the document!
Генерация сертификатов vCenter
Здесь будет рассмотрен вопрос выпуска сертификатов при помощи Active Directory Certificate Services.
Создание шаблона в УЦ
Для издания сертификата vCenter нужен специфический шаблон в УЦ. Создадим его.
- На УЦ запускаем управление шаблонами: certtmpl.msc
- Делаем копию шаблона Web Server
- На вкладке Compatibility в обоих полях совместимости выставляем по крайней мере Windows Server 2012.
- На вкладке General задаем понятное имя нового шаблона.
- На вкладке Extensions правим Application Policies, удаляя оттуда Server Authentication и Server Authentication (если есть).
- Также на вкладке Extensions правим Basic Constraints и отмечаем Enable this extension.
- Также на вкладке Extensions правим Key Usage и отмечаем Signature is proof of origin (non repudiation), остальное здесь оставляем по умолчанию.
- На вкладке Subject Name проверяем, что выбрана опция Supply in the request.
Формирование запроса
Заходим в vCenter в раздел Administration → Certificate Management. Добавляем доверенные корневые центры и создаём запрос CSR для сертификата машины (Machine SSL Certificate → Generate Certificate Signing Request).
В CSR заполняем common name, равное FQDN vCenter, так же заполняем FQDN в поле host. В SAN записываем ВСЕ возможные имена vCenter и на всякий случай его IP.
Копируем CSR в файл и подписываем его шаблоном, сгенерированным ранее на УЦ. Как подписать запрос конкретным шаблоном описано в статье сертификат из запроса с указанием шаблона.
Решение проблем
Если с сертификатами что-то не так, а веб-морда vSphere не стартует - можно воспользоваться консольной утилитой управления сертификатами. Запустить её можно следующим образом:
/usr/lib/vmware-vmca/bin/certificate-manager