Обновление Dell VxRail с пользовательскими сертификатами (исправляется пользователем)
Summary: Пошаговые инструкции по замене сертификатов заказчиков для сред Dell VxRail. vSphere обеспечивает безопасность, используя сертификаты для шифрования коммуникаций, аутентификации служб и подписания токенов. ...
Instructions
vSphere использует сертификаты для следующих целей:
- Шифрование обмена данными между двумя узлами, такими как vCenter Server и хост ESXi.
- Аутентификация служб vSphere.
- Выполнение внутренних действий, таких как подпись токенов.
Внутренний источник сертификатов vSphere, VMware Certificate Authority (VMCA), предоставляет все сертификаты, необходимые для vCenter Server и ESXi. VMCA установлен на каждом Platform Services Controller, обеспечивая немедленную защиту решения без каких-либо других изменений. Сохранение конфигурации по умолчанию обеспечивает минимальные эксплуатационные издержки для управления сертификатами. vSphere предоставляет механизм обновления этих сертификатов в случае истечения срока их действия.
vSphere также предоставляет механизм замены определенных сертификатов собственными сертификатами. Однако рекомендуется заменить только сертификат SSL, который обеспечивает шифрование между узлами, чтобы свести к минимуму издержки на управление сертификатами.
Интеграция пользовательского сертификата
Среда vSphere является гибкой и дает заказчикам возможность работать с пользовательскими сертификатами SSL, поскольку политики их компаний иногда требуют этого. Ниже приведены инструкции по замене сертификатов для различных компонентов в среде VxRail.
- Замена самозаверяющего сертификата VxRail Manager
- Эта процедура доступна на портале SolVe Online. Перейдите в раздел Инструкции > Изменение других параметров кластера VxRail > Выберите текущую версию VxRail Manager > Замена SSL-сертификата VxRail Manager, затем создайте процедуру. Если у вас нет доступа к этому порталу, обратитесь в службу поддержки Dell. Инструкции по созданию запроса на подписание сертификата и изменению полученных файлов сертификатов см. в статье базы знаний VxRail. Как подать заявку на получение нового сертификата для VxRail Manager.
- Замена сертификатов vCenter Server на сертификат, подписанный пользовательским источником сертификатов (CA)
- Следуйте руководству, доступному на сайте VMware: Создание запросов на подписание сертификата с помощью vSphere Certificate Manager (пользовательские сертификаты)
.
- Более подробный обзор процесса замены сертификата с помощью Certificate Manager см. в статье базы знаний VMware Replacing a vSphere 6.x /7.x Machine SSL certificate with a Custom Certificate Authority Signed Certificate (2112277)
- Чтобы проиллюстрировать создание пользовательского подписанного сертификата с помощью PSC, см. статью базы знаний Dell VxRail. Как создать запрос на подписание сертификата (CSR) и закрытые ключи в PSC.
- Следуйте руководству, доступному на сайте VMware: Создание запросов на подписание сертификата с помощью vSphere Certificate Manager (пользовательские сертификаты)
- Восстановление доверия между VxRail Manager и vCenter Server вручную после интеграции пользовательского сертификата
- После замены сертификатов vCenter Server новые необходимо вручную обновить на виртуальной машине VxRail Manager, чтобы восстановить доверие между объектами. Для этого следуйте инструкциям в статье базы знаний VxRail. Импорт SSL-сертификата vCenter в VxRail Manager вручную.
- Замена SSL-сертификатов хоста ESXi
- Требования к запросам на подписание сертификатов ESXi можно найти на сайте VMware https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- Чтобы переключиться на использование пользовательских сертификатов на хостах ESXi в среде vSAN, следуйте инструкциям в статье базы знаний VMware Adding Custom Certificate on ESXi hosts through CLI (56441)
- Требования к запросам на подписание сертификатов ESXi можно найти на сайте VMware https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- Замена сертификатов vRealize Log Insight
- Следуйте руководству, доступному по адресу https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html
- Следуйте руководству, доступному по адресу https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html
Примечание. Служба поддержки Dell не оказывает помощь в создании запросов на подписание сертификата (CSR) с помощью сторонних инструментов или их подписание с помощью внутреннего источника сертификатов компании.
Если при замене сертификата возникли какие-либо проблемы, обратитесь за помощью в службу поддержки Dell.
Additional Information
Связанные ресурсы.
Ниже приведены некоторые рекомендованные статьи по этой теме, которые могут вас заинтересовать.
Ниже приведены некоторые рекомендованные статьи по этой теме, которые могут вас заинтересовать.