说明:
VMware 产品替换 SSL 证书是一个手动且耗时的过程。SDDC Certificate Tool可自动执行此工作流程,并使整个 SDDC 中的证书保持最新状态变得容易。它将替换受支持产品中的所有证书并重新建立组件之间的信任。
支持的产品:
产品 | 最低版本 | 最高版本 |
VMware Platform Services Controller (PSC) | 6.0 U2 | 6.7 |
VMware vCenter Server (VC) | 6.0 U2 | 6.7 |
VMware NSX for vSphere (NSX) | 6.2.4 | 6.4.1 |
vRealize Log Insight (vRLI) | 3.6 | 4.6 |
vRealize Operations Manager (vROps) | 6.3 | 6.7 |
vRealize Automation (vRA) | 7.4 | 7.4 |
vRealize Business for Cloud (vRB) | 7.1 | 7.4 |
要求:
运行 Java 1.8+ 的 PhotonOS 或 Linux
x509 格式的证书文件 (.cer)
x509 格式的证书链 (.cer)
下载链接:
https://flings.vmware.com/sddc-certificate-tool
下面以Centos部署SDDC Certificate Tool和更换vCenter证书为例:
步骤一:部署Centos 7虚拟机并安装Java 1.8
yum install -y java-1.8.0-openjdk
步骤二:上传并安装RPM包
rpm -ivh cert-mgmt-1.0.0-10253169.noarch.rpm
步骤三:进入/opt/vmware/cert-mgmt/config查看配置文件
文件 | 描述 |
config-all-products.json | All supported products supported by SDDC Certificate Tool with CSRgeneration code. |
config-csr.json | Two-member external PSC and one vCenter that need CSR generationand replacement. |
embedded-psc-vcenter.json | Embedded PSC and vCenter instance that requires a certificatereplacement. |
nsx+vc.json | NSX and VC with Embedded PSC but only the certificate on NSX needsreplacement. |
psc+vc.json | Two-member external PSC with one vCenter that all requirereplacement. |
步骤四:上传签名证书到 Linux 服务器证书路径或使用SDDC Certificate Tool生成证书
java -jar /opt/vmware/cert-mgmt/lib/certreplace-1.0.0.jar -c /opt/vmware/cert-mgmt/config/embedded-psc-vcenter.json -createcsr -passwordEntry
步骤五:查看embedded-psc-vcenter.json并修改对应配置包含证书路径
步骤六:运行证书替换命令
java -jar /opt/vmware/cert-mgmt/lib/certreplace-1.0.0.jar -c /opt/vmware/cert-mgmt/config/embedded-psc-vcenter.json -replacecert -passwordEntry
步骤七:检查证实是否替换完成
