vmware替换自签名证书

一、概要在安装vmware 产品的过程中，默认情况下安全访问都是采用vmware 的自签名证书，为了实现企业内部的统一安全访问，需要将vmware 自签名证书替换为企业内部证书。二、替换vCenter

一、概要

在安装vmware 产品的过程中，默认情况下安全访问都是采用vmware 的自签名证书，为了实现企业内部的统一安全访问，需要将vmware 自签名证书替换为企业内部证书。

二、替换vCenter Server自签名证书

替换vCenter Server自签名证书的方法有两种，手动方式和采用替换工具方式，手动方式（可参考vmware 的KB2034833）步骤多而且容易出错，在这里主要介绍采用vmware 提供的工具进行替换。

1、企业内部安装企业根CA

具体参考微软官方网站，这里不再赘述。

2、创建vsphere5.5证书模板

登录证书服务器，打开证书管理控制台，右击“证书模板”->“管理”

右击“web 服务器”选择“复制模板”

选择”windows Server2003 Enterprise”实现最大兼容性

在“常规”中输入模板名称

在“扩展”选项中选择“应用程序策略”->“添加”选择“客户端身份验证”

同时编辑“密钥用法”，勾选“数字签名为原件的证明”和“允许使用用户数据加密”

可颁发的证书里需要添加新建模板, 选择 vSphere-Cert 按 OK 完

查看添加的模板是否正确

登录证书网站，查看模板是否添加正常

3、创建证书请求文件CSR, 向CA 申请证书CRT, 创建证书链PEM

登录vCenter Server 服务器，运行vCenter 安装包，选择“vCenter 证书自动化工具”->浏览介质

工具解压到路径c:vCenterTools（可自定义）

1）、创建证书请求文件CSR

执行解压出来的批处理文件ssl-updater.bat ，选择“2”

选择各个组件，创建各自的证书请求文件

按要求输入相应的申请证书信息，并执行所有组件证书请求（1-7步骤）

执行完后，在工具目录requests 下生成相应的目录及证书请求文件

打开 http://Root_CA IP 地址/Certsrv下载 CA 根证书 ,Base64编码，保存在C: vCenterToolsRoot64.cer,,并导入到受信任的证书颁发机构/本地计算机里。要安装由该 CA 颁发的证书, 需要导入CA 根证书 , 以信任根

CA.

2）、使用以下命令行获取证书.CRT

Cd c:vCenterToolsrequestsvCenterSSO-VCS

Certreq –submit –config “AD.root.cnroot-AD-CA” -attrib “CertificateTemplate:vsphere-cert” rui.csr rui.crt

3）、创建PEM 文件

证书 CRT 和密钥KEY 创建完成之后 , 你必须创建 PEM 证书链用于每个证书，证书链包含所有证书, 以朝向 CA 根证书的顺序组成。注意 :如果证书顺序错误 , 将会导致失败。

1） 复制下载好的CA 根证书Root64.cer 到各个

c:vCenterToolsrequestsComponent-hostname

2） 使用copy source1.file source2.file target.file命令合并rui.crt Root64.cer =chain.pem

Cd c:vCenterToolsrequestsvCenterSSO-VCS

copy rui.crt Root64.cer chain.pem

3） 重复步骤2，完成所有组件pem 文件生成

4） 使用记事本打开生成的chain.pem 文件，删除最后一行的->字符，保存