vmware替换自签名证书
- 格式:docx
- 大小:8.25 MB
- 文档页数:32
一、概要
在安装vmware产品的过程中,默认情况下安全访问都是采用vmware的自签名证书,为了实现企业内部的统一安全访问,需要将vmware自签名证书替换为企业内部证书。
二、替换vCenter Server自签名证书
替换vCenter Server自签名证书的方法有两种,手动方式和采用替换工具方式,手动方式(可参考vmware的KB2034833)步骤多而且容易出错,在这里主要介绍采用vmware提供的工具进行替换。
1、企业内部安装企业根CA
具体参考微软官方网站,这里不再赘述。
2、创建vsphere5.5证书模板
登录证书服务器,打开证书管理控制台,右击“证书模板”->“管理”
右击“web服务器”选择“复制模板”
选择”windows Server2003 Enterprise”实现最大兼容性
在“常规”中输入模板名称
在“扩展”选项中选择“应用程序策略”->“添加”选择“客户端身份验证”
同时编辑“密钥用法”,勾选“数字签名为原件的证明”和“允许使用用户数据加密”
可颁发的证书里需要添加新建模板,选择vSphere-Cert按OK 完
查看添加的模板是否正确
登录证书网站,查看模板是否添加正常
3、创建证书请求文件CSR,向CA申请证书CRT,创建证书链PEM
登录vCenter Server服务器,运行vCenter安装包,选择“vCenter证书自动化工具”->浏览介质
工具解压到路径c:\vCenterTools(可自定义)
1)、创建证书请求文件CSR
执行解压出来的批处理文件ssl-updater.bat,选择“2”
选择各个组件,创建各自的证书请求文件
按要求输入相应的申请证书信息,并执行所有组件证书请求(1-7步骤)
执行完后,在工具目录requests下生成相应的目录及证书请求文件
打开http://Root_CA IP地址/Certsrv下载CA 根证书,Base64编码,保存在C: \vCenterTools\Root64.cer,,并导入到受信任的证书颁发机构/本地计算机里。
要安装由该CA 颁发的证书,需要导入CA 根证书,以信任根CA.
2)、使用以下命令行获取证书.CRT
Cd c:\vCenterTools\requests\vCenterSSO-VCS
Certreq –submit –config “\root-AD-CA”-attrib “CertificateTemplate:vsphere-cert”rui.csr rui.crt
3)、创建PEM文件
证书CRT和密钥KEY创建完成之后,你必须创建PEM证书链用于每个证书,证书链包含所有证书,以朝向CA 根证书的顺序组成。
注意:如果证书顺序错误,将会导致失败。
1)复制下载好的CA根证书Root64.cer到各个
c:\vCenterTools\requests\Component-hostname
2)使用copy source1.file+source2.file target.file命令合并rui.crt+Root64.cer=chain.pem Cd c:\vCenterTools\requests\vCenterSSO-VCS
copy rui.crt+Root64.cer chain.pem
3)重复步骤2,完成所有组件pem文件生成
4)使用记事本打开生成的chain.pem文件,删除最后一行的->字符,保存
4、替换vCenter5.5组件证书
1)、执行ssl-updater.bat选择1,显示需要升级的顺序
2)、选择需要升级的组件,升级所有组件需要18步之多,输入9返回,开始升级
3)、按顺序完成所有组件(如果所有组件都有安装)的升级
按要求输入每个组件相应正确的路径和信息(如升级Inventory Service证书,则切换到该requests相应路径下vCenterInventoryService-VCS)
4)、确定每一步都提示升级成功,并使用vsphere client和web登录vCenter看是否替换成功
三、替换Horizon View自签名证书
1、创建HorizonView证书模板
1)复制Web Server证书模板,兼容性选择2003以实现最大兼容.
2)修改模板显示名,并允许私钥可导出
3)安全选项卡里,给Authenticated Users和Administrator添加Write和Enroll权限.
4)将修改模板颁发成可以使用的模板
5)验证View- Cert证书模板已经可用
2、创建CSR证书请求文件
登录Connection Server服务器,证书请求文件生成keytool工具路径在Connection Server安装目录C:\Program Files\VMware\VMware View\Server\jre\bin
要在任意目录下执行keytool命令,可通过设置环境变量实现
执行keytool命令生成pkcs12密钥文件:keytool -genkey -keyalg "RSA" -keystore keys.p12 -storetype pkcs12 -validity 360 -keysize 2048
Keytool创建CSR文件
keytool -certreq -keyalg "RSA" -file certificate.csr -keystore keys.p12 -storetype pkcs12 -storepass 密码
用记事本打开certificate.csr文件
3、发送到CA申请WEB服务器证书登录证书申请界面,选择“申请证书”
高级证书申请
使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请,或使用 base64 编码的PKCS #7 文件续订证书申请
拷贝certificate.csr证书申请内容,并选择view-cert证书模板,点击“提交”
下载证书
4、将申请好的证书转换为PKCS#12格式
5、导入签名证书到密钥文件
keytool -importcert -keystore keys.p12 -storetype pkcs12 -storepass 密码-keyalg "RSA" -trustcacerts -file 刚导出的文件
6、创建locked.properties 文件
在View server安装路径\sslgateway\conf下建立locked.properties 文件,内容如下:keyfile=keys.p12
keypass=密码
storetype=pkcs12
7、把keys.p12导入到本地计算机证书
登录Connection Server,开始-运行-MMC-添加/删除管理单元
添加证书–选择计算机帐户—本地计算机
导入keys.p12
请勾选”标志此密钥为可导出的密钥”!
8、修改证书友好名称,导入根CA信任
导入后,在个人证书中有三个证书:第一个证书是根CA信任证书,第二个是通过CA申请到的SSL证书,第三个是view自签名证书,将view自签名证书的友好名称修改成其他名称,通过CA申请到的SSL证书的友好名称改为vdm
将CA根证书移动到“受信任的根证书颁发机构”
9、重启connection server服务器或服务
Net stop wsbroker
Net start wsbroker
访问view connection server控制台查看是否正常
四、配置Xendesktop证书
环境:DDC和Storefront安装在同一台服务器上,如在不同服务器上,相关配置请参考Citrix 官方资料。
1、创建证书申请
登录storefront服务器,打开IIS管理器,点击“服务器证书”
加密密钥位长“2048”
将证书申请信息放到桌面
登录CA证书服务器,提交证书申请
下载证书
2、完成证书申请
打开IIS管理器,点击“完成证书申请”
3、绑定新申请的证书
登录https://storefront ip地址/citrix/storeweb验证。