博文摘要

博文主要描述了如何在 Windows Server 2019 中使用 Microsoft 證書頒發(fā)機構(gòu)頒發(fā)適用于 vSphere 7.x 和 8.x 版本的自簽名 Machine SSL 證書。

5. 使用 Microsoft 證書頒發(fā)機構(gòu)頒發(fā)自簽名 SSL 證書

申請前確保 Windows Server IIS 服務(wù)正常開啟80端口。

5.1 登錄MADCS

打開并登錄 Microsoft Active Directory Certificate Services 頁面

5.2 申請證書

點擊【Request a certificate】

5.3 選擇證書類型

選擇【advanced certificate request】

5.4 提交CR

將使用certificate-manager創(chuàng)建的CSR內(nèi)容粘貼到Saved Request下。vmca_issued_csr.csr文件內(nèi)容

-----BEGIN CERTIFICATE REQUEST-----
MIIEAzCCAmsCAQAwXDELMAkGA1UEAwwCQ0ExCzAJBgNVBAYTAkNOMQ8wDQYDVQQI
DAZCZWlqbmcxEDAOBgNVBAcMB0JlaWppbmcxDzANBgNVBAoMBlZNd2FyZTEMMAoG
A1UECwwDR1NTMIIBojANBgkqhkiG9w0BAQEFAAOCAY8AMIIBigKCAYEA2kOHNqwl
zJliNOn4f/GkkP/e7WGH8PA2dTVkW3SAb/CdVL6HA12scjZ1OxfhF9ORtRpcG1Yp
L2Ngq53K7zl5C/XYEuxP0fE8SYgXu9k6jASPRa4WdLhSYqnh66WyilT5GHpyhWTK
3XtUK0G4GwI7tEixiUenYavZamc2sipsgBSVv0DSbp4meQ9NbxbW1yDl/zVWJkir
9wQox/h+jthEFaRrr+WBGA3J5ObphPvM6I3zRJRjjwTXpNJlMRqr8tr471NNmBlS
UZHYuv8l+dFyQIkBrhYNTL5SJ+gjqeLJ8VD+14ucP6QnmZsa7N5A7zUTTOGOUscj
oMvN0kRtgxC41xYLke4Rqp0X48Q2u5Q1u5XkCUjJRuI53HuBFE1tsGYbEG+7GlGZ
Wi+OI7N2CVRG+FOyWe7DRyWR7dqPWrifXmXlqxT13QAq66JxwuARUBIlnv2LT4zP
mwvvdDZrce6hkM55nnEkwM81rCl1jomnWuTz1xRatRYcrOq0WQU7uxd1AgMBAAGg
YjBgBgkqhkiG9w0BCQ4xUzBRMDAGA1UdEQQpMCeBD3lhb3pAdm13YXJlLmNvbYcE
wKgBA4IOdmM3LTMueXoubG9jYWwwHQYDVR0OBBYEFCq8m66ZjIrNNt/ACdL5W+y3
Ru0/MA0GCSqGSIb3DQEBCwUAA4IBgQAHS2qshZdUUnTe1EpQ73VYP1RL4r/rNyeI
N7wTFXtJpcfgLJg9YG7KF95H+x6X44pukNF6y1RVshplZRbs1zYxQ9K0CFyANsmx
St8DS4ao6UnrUL4KHKFVbCtN2HQ8NQPSF9YdR2g0Vtr+iAT1aj+QU3fK0UIjHnbK
Irp+AMpFBTNufVnd9Fe6InzGRlNh1w7KHyCAkTklS+oTlruB9KNI4DaUROc4TUBe
5t6wFTJ1rrbgAAUPYnTzOG/9e63cfn907nNE36w+FyfRahIpNTMW0zoQDjrmXmE7
CsEsLOtK3ooapGnUujG86ichAJFm6l3wftaE95kqR6CJdOPEU8hF/dWe4QQMpowZ
LGWRJfSdrhBs3DrBlga5eRdmsE3NL9L1YWb6Dfy9arVODB6VbmYXvlnWHmgNpvQW
TBBBQZHQDfv7MPomKyOVApAM/dpVYLOg03qXERWkGjvnXYZSM17XedjTjNbfdGX5
uMnBT9GhM8bCou2JNozfEy0nBrMKgQ0=
-----END CERTIFICATE REQUEST-----

然后選擇剛才創(chuàng)建的 vSphere 8.x 模板，點擊 Submit.

5.5 下載 Base 64 編碼的證書

• 選中 Base 64 encoded，先點擊 Download certificate，下載的文件名為 certnew.cer，將其重命名為 machine_ssl.cer

• 回到 Base 64 編碼證書下載頁面，點擊 Download certificate chain，下載的文件名為 certnew.p7b，將其重命名為 cachain.p7b

5.6 導(dǎo)出 CA 證書

（1）打開 cachain.p7b

選中根證書，導(dǎo)出證書。

（根證書的判斷標(biāo)準(zhǔn)是根據(jù)截止時間，一般有效期2年的為自簽名證書，有效期5年的為企業(yè)CA證書，這個5年期限是由根據(jù)證書頒發(fā)機構(gòu)定義。）

下圖名為 CA 的證書，實際上是 machine_ssl.cer，而 yz-SERVER1-CA-4 是 CA 的簽發(fā)證書。

（2）進入證書導(dǎo)出導(dǎo)向

單擊 下一步 繼續(xù)

（3）選擇 Base64編碼

（4）保存到指定目錄

此處我事先在C:\Users<username>\Documents下創(chuàng)建了名為ssl的文件夾。

返回證書導(dǎo)出導(dǎo)向，單擊 下一步。

（5）確認信息

信息確認無誤后，單擊 完成

單擊 確定。

5.7 驗證導(dǎo)出的證書。

此時C:\Users\yz\Documents\ssl下有已存在root-64.cer文件

5.8 將自簽名證書傳入VC

這時候我們需要將root-64.cer和machine_ssl.cer文件上傳到vCenter 中。為了方便起見，我將cachain.p7b和machine_ssl.cer文件復(fù)制到C:\Users\yz\Documents\ssl下。

這里我們使用WinSCP進行傳送。

關(guān)聯(lián)博文

1.企業(yè) CA 簽名證書替換 vSphere Machine SSL 證書Ⅰ—— 生成 CSR
2.企業(yè) CA 簽名證書替換 vSphere Machine SSL 證書Ⅱ—— 創(chuàng)建和添加證書模板
3.企業(yè) CA 簽名證書替換 vSphere Machine SSL 證書Ⅲ—— 頒發(fā)自簽名與替換證書
4.企業(yè) CA 簽名證書替換 vSphere Machine SSL 證書Ⅳ—— 替換默認證書

參考資料

• Obtaining vSphere certificates from a Microsoft Certificate Authority (2112014)
• Custom certificate on the outside, VMware CA (VMCA) on the inside – Replacing vCenter 6.0’s SSL Certificate
• 博文封面圖片來自:https://blog.codavel.com/accepting-self-signed-certificates-in-okhttp3