Uppdatera Dell VxRail med anpassade certifikat (kan korrigeras av kunden)

vSphere använder certifikat för att:

• Kryptera kommunikationen mellan två noder, t.ex. vCenter Server och en ESXi-värd.
• Autentisera vSphere-tjänster.
• Utför interna åtgärder, t.ex. signeringstoken.

vSpheres interna certifikatutfärdare, VMware Certificate Authority (VMCA), tillhandahåller alla certifikat som behövs för vCenter Server och ESXi. VMCA installeras på varje styrenhet för plattformstjänster och säkrar omedelbart lösningen utan någon annan modifiering. Genom att behålla den här standardkonfigurationen får du den lägsta driftsoverheadsen för certifikathantering. vSphere tillhandahåller en mekanism för att förnya dessa certifikat i händelse av att de upphör att gälla.

vSphere tillhandahåller även en mekanism för att ersätta vissa certifikat med dina egna certifikat. Vi rekommenderar dock att du bara byter ut det SSL-certifikat som tillhandahåller kryptering mellan noder för att hålla certifikathanteringen på en låg nivå.

Anpassad certifikatintegrering

vSphere-miljön är flexibel så att kunderna kan arbeta med anpassade SSL-certifikat, eftersom deras företagspolicyer ibland kräver det. Följande steg vägleder dig genom att ändra certifikat för olika komponenter i en VxRail-miljö.

1. Byta ut VxRail Managers självsignerade certifikat
   • Den här proceduren är tillgänglig på SolVe-onlineportalen . Gå till Procedurerna "Så här gör du" > Så ändrar du andra VxRail-klusterinställningar > Välj den aktuella VxRail Manager-versionen > Byta ut VxRail Manager SSL-certifikatet och generera proceduren. Om du inte har tillgång till portalen kontaktar du Dells support. Information om hur du skapar begäran om certifikatsignering och ändrar mottagna certifikatfiler finns i KB-artikeln VxRail: Så här ansöker du om ett nytt certifikat för VxRail Manager.
2. Byta ut vCenter Server-certifikat med ett certifikatutfärdarsignerat certifikat (Custom Certificate Authority)
   • Följ guiden som finns på VMware: Generera certifikatsigneringsförfrågningar med vSphere Certificate Manager (anpassade certifikat).
   • En bättre översikt över processen för byte av certifikat med hjälp av Certificate Manager finns i VMware KB Byta ut ett vSphere 6.x/7.x Machine SSL-certifikat mot ett signerat certifikat för anpassad certifikatutfärdare (2112277).
   • Information om hur du genererar ett anpassat signerat certifikat med PSC finns i KB-artiklarna Dell VxRail: Generera CSR-begäran (certifikatsignering) och privata nycklar på PSC och VxRail: Generera ett anpassat signerat certifikat från PSC.
3. Återupprätta förtroendet manuellt mellan VxRail Manager och vCenter Server efter integrering av anpassat certifikat
   • Vid utbyte av vCenter Server-certifikat bör de nya uppdateras manuellt på VxRail Manager VM för att möjliggöra återupprättande av förtroende mellan båda enheterna. För att uppnå det ska du följa KB-artikeln VxRail: Importera vCenter SSL-certifikat på VxRail Manager manuellt.
4. Byta ut ESXi-värdens SSL-certifikat
   • Krav för ESXi-certifikatsigneringsförfrågningar finns på VMware på https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html.
   • Om du vill växla till att använda anpassade certifikat på ESXi-värdarna i en vSAN-miljö följer du VMware KB Adding Custom Certificate på ESXi-värdar via CLI (56441). Du bör alltid säkerhetskopiera de gamla ESXi-certifikaten utanför värden (med till exempel klienter som WinSCP) för att kunna återställa om det skulle uppstå problem i utbytesprocessen.
5. Byta ut vRealize Log Insight-certifikat
   • Följ anvisningarna som finns på https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html.

Om du stöter på problem under certifikatbytet kontaktar du Dells support för att få hjälp.

• Dell EMC VxRail: Krav för VxRail Manager SSL-certifikat i mTLS-aktiverat kluster
• Dell EMC VxRail: Det går inte att logga in på vCenter med felet 500 SSO. PSC&VC-certifikat upphörde att gälla och kunde inte förnyas.