共有されたシングル サインオン ドメインの証明書の構成
同じシングル サインオン (SSO) ドメインに参加している複数の のインスタンスを展開している場合は、証明書が正しくインストールされていることを確認する手順を実行する必要があります。
4.5 では、複数の インスタンスを同じ vCenter Single Sign-On ドメインに参加させる機能は廃止されました。
すべての インスタンスで各 にデフォルトの VMCA 署名付き証明書を使用する場合は、 インスタンスによって SSO ドメインに追加の が導入されるたびに、次の手順を実行する必要があります。
- 新しい の VMCA マシン証明書を、その SSO ドメインに参加している他のすべての インスタンスのトラスト ストアにインポートします。
次の場合に、SSO ドメインに追加の が導入されます。
- 既存の インスタンスと同じ SSO ドメインを共有する新しい インスタンスを展開します。
- SSO ドメインを共有する任意の インスタンスに新しい VI ワークロード ドメインを展開します。
- 新しい管理ドメインまたは VI ワークロード ドメイン の証明書を取得します。
- rootユーザー アカウントを使用して新しい に SSH 接続します。
- Shellと入力します。
- VMware Certificate Store (VECS) から証明書を取得し、出力ファイルに送信します。/usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output /tmp/<new-vcenter>.cer
- 証明書 () を、証明書をインポートする インスタンスにアクセスできるコンピュータにコピーします。<new-vcenter>.cer
- インスタンスのトラスト ストアに証明書をインポートします。
- 証明書を にコピーします。たとえば、/tmp/などです。<new-vcenter>.cer
- vcfユーザー アカウントを使用して に SSH 接続します。
- suと入力して、root ユーザーに切り替えます。
- 次のコマンドを実行します。trustedKey=$(cat /etc/vmware/vcf/commonsvcs/trusted_certificates.key)(echo $trustedKey; sleep 1; echo "Yes") | keytool -importcert -alias<new-vcenter>-file /tmp/<newvcenter>. cer -keystore /etc/vmware/vcf/commonsvcs/trusted_certificates.storeecho "Yes" | keytool -importcert -alias<new-vcenter>-file /tmp/<new-vcenter>.cer -keystore /etc/alternatives/jre/lib/security/cacerts --storepass changeit
- キーストアのエントリを検証します。keytool -list -v -keystore /etc/vmware/vcf/commonsvcs/trusted_certificates.store -storepass $trustedKey
- 信頼されている証明書をインポートした各 インスタンスで、すべての サービスを再起動します。echo "Y" | /opt/vmware/vcf/operationsmanager/scripts/cli/sddcmanager_restart_services.sh