VM vSphere 使用自签CA证书替换自带证书

在开始之前需要准备CA证书服务器并配置好、vSphere已经开启了SSH、xshell、xftp这些工具都要准备好,后面会用到。VM vSphere 的证书理论上来说没有必要进行更换,这种服务器一般都是放在内网服务器根本不会给你外网访问的机会。所以想换的就折腾下吧!

文章比较长,建议先看一遍理一理头绪在动手,按照步骤走不要自以为是不然可能会造成不可挽回的错误,请谨慎操作。

0x01 设备管理

进入到VMware的设备管理,地址是vSphere的地址加5480端口,账号是root密码自己想想。

0x02 开启登录

进入设备管理后→访问→访问设置→编辑,开启SSH登录;切记!使用完毕后记得关闭SSH登录;

0x03 证书服务

进入到证书服务器→服务器管理器→AD CS→右键证书颁发机构;

0x04 证书模板

进入到证书 颁发机构→证书模板→管理;

0x05 模板管理

进入到证书模板控制→从属证书颁发机构右键复制模板;

0x06 模板兼容

兼容性选项,证书颁发机构选择:Windows Server 2016 证书接收人:Windows7 / Server 2008 R2建议这样选,因为我选择证书接收人为Windows10 / Server 2016 结果在证书申请界面找不到这个模板,查了微软的文档是存在这个问题。

0x07 模板常规

常规选项,模板名称可以输入VMCA,你可以更改为其他,有效期默认5年即可,要勾选“在Active Directory中发布证书”

0x08 模板扩展

扩展选项,选择秘钥用法→编辑,勾选数字签名、证书签名、CRL签名、使这个扩展成为关键扩展。如下图:

0x09 模板安全

安全选项,要 保证Authenticated Users、Administrator这两个用户拥有读取、写入、注册的权限,如下图,设置完毕后点击应用确定完成模板复制;

0x10 发布证书

在证书颁发机构→证书模板→新建→要颁发的证书模板;

0x11 启用模板

选择VMCA这个模板点击确定发布,至此在证书服务器上的操作完成;

0x12 申请地址

登录证书申请的Web界面,地址为:http://10.10.100.10/certsrv 或者直接输入证书服务器的FQDN地址,访问成功后界面如下,账号密码为域管理员账户和密码,注意输入格式;

0x13 申请证书

登入证书申请服务后,点击申请证书;

0x14 高级证书

点击高级证书申请;然后暂时先停留在这个界面,后续会用到;

0x15 SSH登录

使用SSH登录到 vSphere 地址为 vSphere 的IP端口22,登录成功后如下图:

0x16 创建目录

首先需要启用Bash shell然后切换shell,创建一个目录用于存放生成证书私钥文件;

shell.set --enable True    # 启用 Bash shell;
shell    # 访问 Bash shell;
chsh -s /bin/bash root    # 将默认的Appliance Shell更改为 Bash Shell;
mkdir /tmp/certs    # 生成csr文件使用的临时目录;

0x17 证书管理

使用以下命令打开证书管理,键入命令后回车,命令执行成功如下图;

/usr/lib/vmware-vmca/bin/certificate-manager    # 打开证书管理;

0x18 信息填写

输入2,用自定义签名证书替换VMCA根证书并替换所有证书(Replace VMCA Root certificate with Custom Signing Certificate and replace all Certificates)以下信息为键入选项2的结果,注意填写的信息,我已用红色字体注明,根据自己的情况填写;

0x19 输出路径

以上信息填写完毕后回车确认,会给出两个选项,选择1后回车。会提示输入路径,此时键入之前创建的目录 /tmp/certs 如下图:

0x20 确认输出

此时在这里暂停,需要使用xftp登录到 /tmp/certs目录,可以看到此时目录里面已经有两个文件名为:vmca_issued_csr.csr、vmca_issued_key.key

0x21 下载文件

把 vmca_issued_csr.csr下载到本地并重命名为:vmca.csr,使用记事本打开vmca.csr 并复制所有内容,打开如下图:

0x22 证书申请

以上内容复制后,打开 0x14 步骤的高级证书申请界面,将复制的内容粘贴在Base-64编码的证书申请栏,然后证书模板选择VMCA,然后点击提交;

0x23 下载证书

提交后,显示证书已颁发,选择Base 64编码然后下载这个证书,并重命名为vmca.cer下载后点击右上角的主页按钮;

注意此时应该有两个名为vmca的文件一个是vmca.csr一个是 vmca.cer 不要搞混了。

0x24 申请主页

此时已经回到主页,点击下载CA证书、证书链或CRL;

0x25 下载证书

证书下载页面,编码方法选择Base 64 然后点击下载CA证书,并重命名为:root.cer;

0x26 证书文件

此时用于存放证书的目录应该有以下几个文件:vmca.csr、vmca.cer、root.cer

0x27 合成证书

重要的来了,首先用记事本打开root.cer并复制文件内所有内容,在用记事本打开 vmca.cer 把 root.cer 文件内容粘贴在 vmca.cer 内容“-----END CERTIFICATE-----”的下面;然后保存 vmca.cer;

0x28 上传证书

将保存的vmca.cer文件上传到/tmp/certs目录,此时的 /tmp/certs 目录下有三个文件:vmca.cer、vmca_issued_csr.csr、vmca_issued_key.key;

0x29 证书路径

上传完毕后,在回到xshell接着步骤键入1,然后根据提示先输入vmca.cer的路径,在输入vmca_issued_key.key的路径;如下图:连个路径分别是;

/tmp/certs/vmca.cer    # 证书路径;
/tmp/certs/vmca_issued_key.key    # 证书秘钥路径;

0x30 替换证书

在输入完证书和秘钥的路径后,按y开始进行证书替换;

0x31 替换完成

证书替换过程大概需要10分钟,替换完成后提示如下图;

相关推荐
python ERROR: Command errored out with exit status 1:
Windows Server 2019 域环境搭建 SMB 共享文件服务
Windows Server 2016 搭建 SMB 共享文件
Parallels Desktop 15.1.3