准备内容
作为主备的PSC01和PSC02已安装完成PSC开启了ssh登录权限确定负载均衡PSC-lb的name和IP,并在DNS上进行注册安装AD 认证service1.1 进入psc01 linux os,创建文件夹来存储认证文件
mkdir cert cd cert vi openssl.cfg将以下内容复制进该文件中,并根据实际情况进行修改
[ req ] default_bits = 2048 default_keyfile = sc2-mgmt-psc.key distinguished_name = req_distinguished_name encrypt_key = no prompt = no string_mask = nombstr req_extensions = v3_req [ v3_req ] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment, dataEncipherment, nonRepudiation extendedKeyUsage = serverAuth, clientAuth subjectAltName = @alternate_names [ req_distinguished_name ] countryName = US stateOrProvinceName = CA localityName = Palo Alto 0.organizationName = NFV organizationalUnitName = Solution Engineering commonName = sc2-mgmt-psc-lb.nfvra2.com [ alternate_names ] DNS.1 = sc2-mgmt-psc1.nfvra2.com DNS.2 = sc2-mgmt-psc2.nfvra2.com DNS.3 = sc2-mgmt-psc-lb.nfvra2.com // 注意: // 1. commonName的值应该使用的是负载均衡PSC-LB的name // 2. alternate_names需要列出PSC01、PSC02、PSC-lb的name1.2 通过以下命令创建认证请求文件及私钥
openssl req -new -sha256 -nodes -out private.csr -keyout private.key -config openssl.cfgprivate.csr 属于证书请求文件,是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书
1.3 生成证书文件
登录到认证服务器,输入“http://localhost/certsrv/”获取prvate.cer的操作过程为: Request a certificate → advanced certificate request → Submit a certificate request by using a base-64-encoded file; 将private.csr文件copy到Base-64-encoded certificate request,并选择使用“Web Server”作为认证模板; 提交后,将Base-64-encoded certificate内容下载后,在PSC01上创建private.cer文件并复制粘贴下载的认证文件内容获取root.cer的操作过程为: 回到“http://localhost/certsrv/”页面,选择Download CA certificate → Base 64 → Download CA certificate,将获取到的文件内容copy并保存为PSC01的root.cer文件中注意:
编辑文档进行复制时,多余的回车换行要去掉,以免出错证书生效时间是按照日期进行的,而不考虑时间和时差,所以如果你生成证书的机器,因为任何原因导致的时间超前,都会造成证书在psc上不可用1.4 在PSC01上进行运行certificate manager
运行certificate manager: /usr/lib/vmware-vmca/bin/certificate-manager 使用private.cer, private.key, root.cer作为参数执行 a). 选择1(replac Machine SSL certficate with Custome Certificate) b). 输入用户名和密码:用户名(如:Administrator@vsphere.local)/ 密码 c). 选择2(Import custom certificate and key) d). 输入private.cer路径: /root/cert/private.cer e). 输入private.key路径: /root/cert/private.key f). 输入root.cer路径: /root/cert/root.cer1.5 在PSC02上进行认证 将private.cer, private.key 和 root.cer三个文件复制到PSC02上,同样方法运行certificate manager完成认证。
安装过程中遇到的问题: (1)如果certificate server上“http://localhost/certsrv/”地址打不开,则需要查看AD certificate service是否安装并开启了 (2)运行certificate manager时,出现以下错误提示信息“error 9 at 0 depth lookup:certificate is not yet valid” 原因分析: 这是由于由于认证时效问题导致的,证书生效时间是按照日期进行的,而不考虑时间和时差,所以如果你生成证书的机器,因为任何原因导致的时间超前,都会造成证书在psc上不可用。 解决办法:
方法一:等到第二天再去运行就ok了方法二:调整证书服务器的时区,保证现实的日期在psc的系统时间之后方法三:直接修改证书服务器的时间