Aktualizowanie rozwiązania Dell VxRail o niestandardowe certyfikaty (z możliwością naprawienia przez klienta)
Summary: Wskazówki krok po kroku dotyczące wymiany na certyfikaty klienta dla środowisk Dell VxRail. vSphere zapewnia bezpieczeństwo, używając certyfikatów do szyfrowania komunikacji, uwierzytelniania usług i podpisywania tokenów. ...
Instructions
vSphere używa certyfikatów, aby:
- szyfrować komunikację między dwoma węzłami, takimi jak serwer vCenter i host ESXi;
- uwierzytelniać usługi vSphere;
- wykonywać działania wewnętrzne, takie jak podpisywanie tokenów.
Wewnętrzny urząd certyfikacji vSphere, VMware Certificate Authority (VMCA), zapewnia wszystkie certyfikaty niezbędne dla vCenter Server i ESXi. VMCA jest instalowany na każdym kontrolerze usług platformy, natychmiast zabezpieczając rozwiązanie bez żadnych innych modyfikacji. Zachowanie tej domyślnej konfiguracji zapewnia najniższe obciążenie operacyjne w przypadku zarządzania certyfikatami. vSphere zapewnia mechanizm odnawiania tych certyfikatów w przypadku ich wygaśnięcia.
vSphere udostępnia również mechanizm zastępowania niektórych certyfikatów własnymi certyfikatami. Zaleca się jednak wymianę tylko certyfikatu SSL, który zapewnia szyfrowanie między węzłami, aby utrzymać niskie obciążenie związane z zarządzaniem certyfikatami.
Integracja niestandardowego certyfikatu
Środowisko vSphere jest elastyczne, umożliwiając klientom pracę z niestandardowymi certyfikatami SSL, zgodnie z zasadami ich firm, które czasami tego wymagają. Poniższe przedstawiono kroki zmiany certyfikatów dla różnych komponentów w środowisku VxRail.
- Wymiana certyfikatu z podpisem własnym VxRail Manager
- Ta procedura jest dostępna w portalu portalu SolVe. Przejdź do sekcji „Instrukcje” > „Zmiana innych ustawień VxRail Cluster” > Wybierz bieżącą wersję VxRail Manager > Wymień certyfikat SSL VxRail Manager, a następnie wygeneruj procedurę. Jeśli nie masz dostępu do tego portalu, skontaktuj się z Dell Support. Aby uzyskać wskazówki dotyczące tworzenia żądania podpisania certyfikatu i modyfikowania otrzymanych plików certyfikatów, zapoznaj się z artykułem z bazy wiedzy VxRail: Stosowanie nowego certyfikatu w VxRail Manager.
- Wymiana certyfikatów serwera vCenter przy użyciu certyfikatu podpisanego przez niestandardowy urząd certyfikacji (CA)
- Postępuj zgodnie z przewodnikiem dostępnym w VMware: Generowanie żądań podpisania certyfikatu przy użyciu menedżera certyfikatów vSphere (certyfikaty niestandardowe).
- Aby bliżej poznać proces wymiany certyfikatów za pomocą Menedżera certyfikatów, zapoznaj się z artykułem z bazy wiedzy VMware: Zastępowanie certyfikatu SSL maszyny vSphere 6.x /7.x certyfikatem niestandardowym podpisanym przez urząd certyfikacji (2112277).
- Aby zilustrować sposób generowania niestandardowego certyfikatu podpisanego przy użyciu PSC, zapoznaj się z artykułem z bazy wiedzy Dell VxRail: Generowanie CSR (żądanie podpisania certyfikatu) i kluczy prywatnych w PSC.
- Postępuj zgodnie z przewodnikiem dostępnym w VMware: Generowanie żądań podpisania certyfikatu przy użyciu menedżera certyfikatów vSphere (certyfikaty niestandardowe).
- Ręczne przywracanie zaufania między VxRail Manager i serwerem vCenter po integracji niestandardowego certyfikatu
- Po wymianie certyfikatów serwera vCenter należy ręcznie zaktualizować nowe certyfikaty w maszynie wirtualnej VxRail Manager, aby umożliwić ponowne ustanowienie zaufania między obiema jednostkami. W tym celu postępuj zgodnie z artykułem z bazy wiedzy VxRail: Ręczne importowanie certyfikatu SSL vCenter w programie VxRail Manager.
- Wymiana certyfikatów SSL hosta ESXi
- Wymagania dotyczące wniosków o podpisanie certyfikatu ESXi są dostępne w VMware na stronie https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
.
- Aby przełączyć się na używanie certyfikatów niestandardowych na hostach ESXi w środowisku vSAN, postępuj zgodnie z artykułem z bazy wiedzy VMware Dodawanie certyfikatu niestandardowego na hostach ESXi za pośrednictwem interfejsu CLI (56441).
- Wymagania dotyczące wniosków o podpisanie certyfikatu ESXi są dostępne w VMware na stronie https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- Wymiana certyfikatów vRealize Log Insight
- Postępuj zgodnie z instrukcjami dostępnymi na stronie https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html
- Postępuj zgodnie z instrukcjami dostępnymi na stronie https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html
Uwaga: Generowanie żądań podpisania certyfikatu (CSR) przy użyciu narzędzi innych firm lub podpisywanie ich przy użyciu wewnętrznego urzędu certyfikacji firmy nie jest obsługiwane przez dział Dell Support.
W przypadku wystąpienia jakichkolwiek problemów podczas wymiany certyfikatu należy skontaktować się z Dell Support.
Additional Information
Powiązane materiały
Poniżej przedstawiono niektóre z polecanych materiałów na ten temat, które mogą Cię zainteresować:
Poniżej przedstawiono niektóre z polecanych materiałów na ten temat, które mogą Cię zainteresować: