透過微軟證書伺服器自簽名證書替換VMware vCenter證書：達到域內主機訪問vCenter Server是信任狀態

皇帽讲绿帽带法技巧發表於2024-07-24

透過微軟證書伺服器自簽名證書替換VMware vCenter證書：達到域內主機訪問vCenter Server是信任狀態

開始之前的必要條件是已經搭建好微軟AD域和對應的證書伺服器。
確認這些都沒有問題，才可以繼續下一步操作。
已經透過域名的形式安裝好了vCenter Server，並且可以正常訪問。

整體操作步驟邏輯

SSH登入vCenter Server，生成自簽名的CSR和私鑰key。
在微軟證書伺服器建立新增證書模板。
確認證書模板沒有問題，然後拿著剛在vCenter Server中生成CSR去微軟證書伺服器申請證書。
下載好的申請的證書鏈，此時格式是p7b格式，將證書鏈上傳到vCenter Server伺服器中。
將證書鏈p7b格式轉換為cer格式的證書。
拿著上面轉換的cer證書和私鑰key在vCenter Server中匯入證書。
微軟域內環境中的任何一臺加入域的主機測試驗證訪問vCenter Server的域名，確認其訪問的https是否為信任。
若為信任，則證書替換成功。

操作之前參考文件

我在實際操作之前是參考下面3篇部落格，寫的非常詳細詳實，按照順序步驟執行操作即可成功。
前提條件是自己已經搭建好微軟證書伺服器，並確認執行頒發證書都沒有問題，且vCenter Server也可正常訪問。
3篇部落格文章如下：

https://blog.csdn.net/NOWSHUT/article/details/133952421
https://blog.csdn.net/NOWSHUT/article/details/133952479
https://blog.csdn.net/NOWSHUT/article/details/133952535

我實戰驗證操作過程

申請CSR證書和私鑰

新增微軟證書模板

先提下，微軟證書伺服器如果是域內環境，基礎架構是先搭建一臺rootCA根證書，然後再基於這臺rootCA根證書搭建一臺中級證書伺服器，之後rootCA證書伺服器關機即可，後面沒她什麼事情了，當然需要用到的時候再開機。
真正後面幹活的是這臺中級證書伺服器，所以此處操作是在這臺中級證書伺服器中執行一序列操作。
基礎操作步驟：

執行命令certtmpl.msc
此時會直接開啟證書模板，然後找到Subordinate Certificate Authority將其複製一份模板名稱命名為：vSphere 8.x for VMCA
在這個新模板上面需要配置的資訊看如下截圖。

上述Security部分有個坑，就是預設情況下許可權是不夠的，導致後面在申請證書的頁面死活無法看到這裡配置的證書模板，所以如果圖方便，就將這個Security部分的所有使用者Allow部分全部勾選。
正常情況下是沒有問題，會立刻生效，如果不生效，就在域控裡面執行下組策略更新，然後重啟證書伺服器等等操作。
上述操作完成之後，就可以將剛剛新增模板，新增到證書模板然後頒發即可，此處操作就是上面說的坑，如果不生效，就按照上述操作流程走一遍。
新增證書模板頒發步驟。
執行執行命令certsrv.msc
選中Certificate Templates --> New --> Certificate Template Issue
找到之前新建的vSphere 8.x for VMCA 頒發即可

向微軟證書伺服器申請自簽名證書鏈

正常情況搭建好這個Web證書籤名服務，第一次訪問需要輸入域控賬戶和密碼，或者當前中級證書伺服器的本地賬戶和密碼。
進入之後點選Request a Certificate
點選advanced certificate request
將上述第一步在vCenter Server中申請的CSR檔案內容貼上進去(vmca_issued_csr.csr)

如果上述都沒有問題，下載下來的證書鏈就是certnew.p7b，將這個名稱重新命名為cachain.p7b 然後將其上傳到vCenter Server的/root/vmca/目錄下
使用命令將其轉換為cer格式
openssl pkcs7 -print_certs -in cachain.p7b -out vmca_issued.cer
最終需要用到的證書和私鑰名稱如下：
自簽名根證書鏈：vmca_issued.cer
自定義金鑰：vmca_issued_key.key
在vCenter Server後臺執行命令：/usr/lib/vmware-vmca/bin/certificate-manager
按照流程填寫操作，跟上述第一步填寫內容一樣即可。
最後一步選中2，匯入自定義證書，然後就是等待，這過程需要花幾分鐘，當顯示100%成功了，說明所有操作完畢，可以使用vCenter Server的域名在域內的任何一臺主機訪問，確認https顯示信任狀態即可。

最終驗證結果

【VMware vCenter】VMware vCenter Server(VCSA) 5.5 版本證書過期問題處理過程。
2024-07-10
Server
ios簽名證書：什麼是證書？
2019-12-30
iOS
什麼是自簽名證書？自簽名SSL證書的優缺點?
2021-10-19
建立自簽名根證書-中間證書。
2019-07-05
什麼是自簽名SSL證書？自簽名證書有哪些安全隱患？
2022-11-14
什麼是伺服器SSL證書是SSL加密證書還是程式碼簽名證書
2022-07-18
伺服器加密
從自簽名證書匯出pfx和cer證書
2015-09-16
openssl生成自簽名證書
2019-09-22
生成自簽名SSL證書
2017-11-03
蘋果簽名證書：共享證書和獨享證書找不同
2020-03-26
蘋果
Apache 配置https 自簽名證書或者購賣證書
2019-02-13
ApacheHTTP
Kubelet證書自動續簽（為kubelet配置證書輪換）
2024-09-05
自簽名SSL證書安全嗎？
2020-08-19
自簽名證書 nginx tomcat
2019-02-28
NginxTomcat
使用mkcert建立自簽名證書
2019-05-02
mkcert
程式碼簽名證書與SSL證書區別
2020-08-03
程式碼簽名證書
2024-03-29
使用OpenSSL生成自簽名SSL證書
2019-04-21
自簽名SSL證書有風險嗎？
2022-05-16
Xamarin Android使用自簽名證書
2021-10-01
Android
Android okhttp3.0配置https的自簽證書和信任所有證書
2019-03-09
AndroidHTTP
Charles 匯出證書、簽發證書
2024-07-19
thawte程式碼簽名證書和Comodo程式碼簽名證書區別
2020-12-29
什麼是SLL證書？伺服器證書
2023-03-09
伺服器
自簽名的SSL證書與專業的SSL證書有哪些區別？
2021-03-18
如何快速建立自簽名 SSL 證書 -- [mkcert]
2022-01-20
mkcert
EV程式碼簽名證書和標準程式碼簽名證書有何不同？
2020-07-29
netcore 內網部署https自簽名證書
2024-08-21
NetCore內網HTTP
在證書儲存區中找不到清單簽名證書
2014-08-01
HTTPS信任證書
2017-06-08
HTTP
證書的數字簽名和認證 (轉)
2007-08-17
程式碼簽名證書是如何進行驗證工作的
2023-01-17
iOS證書籤名機制&重簽名&防止重簽名
2019-12-04
iOS
WAS證書過期替換之獨立WAS Server之文字操作版
2010-12-31
Server
OpenSSL 生成 RootCA （根證書）並自簽署證書（支援 IP 地址）
2023-10-10
windows下使用makecert命令生成自簽名證書
2015-09-16
Windows
Net8 使用BouncyCastle 生成自簽名證書
2024-03-13
AST
Mac Store 證書籤名大清理及證書生成過程
2014-04-13
Mac

透過微軟證書伺服器自簽名證書替換VMware vCenter證書：達到域內主機訪問vCenter Server是信任狀態

透過微軟證書伺服器自簽名證書替換VMware vCenter證書：達到域內主機訪問vCenter Server是信任狀態

整體操作步驟邏輯

操作之前參考文件

我實戰驗證操作過程

申請CSR證書和私鑰

新增微軟證書模板

向微軟證書伺服器申請自簽名證書鏈

最終驗證結果

相關文章