目录
- 博文摘要
- 5. 使用 Microsoft 证书颁发机构颁发自签名 SSL 证书
- 5.1 登录MADCS
- 5.2 申请证书
- 5.3 选择证书类型
- 5.4 提交CR
- 5.5 下载 Base 64 编码的证书
- 5.6 导出 CA 证书
- (1)打开 cachain.p7b
- (2)进入证书导出导向
- (3)选择 Base64编码
- (4)保存到指定目录
- (5)确认信息
- 5.7 验证导出的证书。
- 5.8 将自签名证书传入VC
- 关联博文
- 参考资料
博文摘要
博文主要描述了如何在 Windows Server 2019 中使用 Microsoft 证书颁发机构颁发适用于 vSphere 7.x 和 8.x 版本的自签名 Machine SSL 证书。
5. 使用 Microsoft 证书颁发机构颁发自签名 SSL 证书
申请前确保 Windows Server IIS 服务正常开启80端口。
5.1 登录MADCS
打开并登录 Microsoft Active Directory Certificate Services 页面
5.2 申请证书
点击【Request a certificate】
5.3 选择证书类型
选择【advanced certificate request】
5.4 提交CR
将使用certificate-manager创建的CSR内容粘贴到Saved Request下。vmca_issued_csr.csr文件内容
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
然后选择刚才创建的 vSphere 8.x 模板,点击 Submit.
5.5 下载 Base 64 编码的证书
-
选中 Base 64 encoded,先点击 Download certificate,下载的文件名为 certnew.cer,将其重命名为 machine_ssl.cer
-
回到 Base 64 编码证书下载页面,点击 Download certificate chain,下载的文件名为 certnew.p7b,将其重命名为 cachain.p7b
5.6 导出 CA 证书
(1)打开 cachain.p7b
选中根证书,导出证书。
(根证书的判断标准是根据截止时间,一般有效期2年的为自签名证书,有效期5年的为企业CA证书,这个5年期限是由根据证书颁发机构定义。)
下图名为 CA 的证书,实际上是 machine_ssl.cer,而 yz-SERVER1-CA-4 是 CA 的签发证书。
(2)进入证书导出导向
单击 下一步 继续
(3)选择 Base64编码
(4)保存到指定目录
此处我事先在C:\Users<username>\Documents下创建了名为ssl的文件夹。
返回证书导出导向,单击 下一步。
(5)确认信息
信息确认无误后,单击 完成
单击 确定。
5.7 验证导出的证书。
此时C:\Users\yz\Documents\ssl下有已存在root-64.cer文件
5.8 将自签名证书传入VC
这时候我们需要将root-64.cer和machine_ssl.cer文件上传到vCenter 中。为了方便起见,我将cachain.p7b和machine_ssl.cer文件复制到C:\Users\yz\Documents\ssl下。
这里我们使用WinSCP进行传送。
关联博文
1.企业 CA 签名证书替换 vSphere Machine SSL 证书Ⅰ—— 生成 CSR
2.企业 CA 签名证书替换 vSphere Machine SSL 证书Ⅱ—— 创建和添加证书模板
3.企业 CA 签名证书替换 vSphere Machine SSL 证书Ⅲ—— 颁发自签名与替换证书
4.企业 CA 签名证书替换 vSphere Machine SSL 证书Ⅳ—— 替换默认证书
参考资料
- Obtaining vSphere certificates from a Microsoft Certificate Authority (2112014)
- Custom certificate on the outside, VMware CA (VMCA) on the inside – Replacing vCenter 6.0’s SSL Certificate
- 博文封面图片来自:https://blog.codavel.com/accepting-self-signed-certificates-in-okhttp3
