การอัปเดต Dell VxRail ด้วยใบรับรองแบบกําหนดเอง (แก้ไขได้ของลูกค้า)
Summary: คําแนะนําทีละขั้นตอนเพื่อแทนที่ด้วยใบรับรองลูกค้าสําหรับสภาพแวดล้อม Dell VxRail vSphere ให้การรักษาความปลอดภัยโดยใช้ใบรับรองเพื่อเข้ารหัสการสื่อสารรับรองความถูกต้องของบริการและโทเค็นการเซ็นชื่อ ...
Instructions
vSphere ใช้ใบรับรองเพื่อ:
- เข้ารหัสการสื่อสารระหว่างสองโหนดเช่น vCenter Server และโฮสต์ ESXi
- ตรวจสอบสิทธิ์บริการ vSphere
- ดําเนินการภายใน เช่น การเซ็นชื่อโทเค็น
ผู้ออกใบรับรองภายในของ vSphere, VMware Certificate Authority (VMCA) ให้ใบรับรองทั้งหมดที่จําเป็นสําหรับ vCenter Server และ ESXi VMCA ได้รับการติดตั้งบนตัวควบคุมบริการแพลตฟอร์มทุกตัวเพื่อรักษาความปลอดภัยโซลูชันทันทีโดยไม่มีการดัดแปลงอื่น ๆ การรักษาค่าเริ่มต้นนี้จะให้ค่าใช้จ่ายในการดําเนินงานต่ําสุดสําหรับการจัดการใบรับรอง vSphere มีกลไกในการต่ออายุใบรับรองเหล่านี้ในกรณีที่หมดอายุ
vSphere ยังมีกลไกในการแทนที่ใบรับรองบางอย่างด้วยใบรับรองของคุณเอง อย่างไรก็ตามขอแนะนําให้แทนที่เฉพาะใบรับรอง SSL ที่ให้การเข้ารหัสระหว่างโหนดเพื่อให้ค่าใช้จ่ายในการจัดการใบรับรองของคุณต่ํา
การรวมใบรับรองแบบกําหนดเอง
สภาพแวดล้อม vSphere มีความยืดหยุ่นเพื่อให้ลูกค้ามีโอกาสทํางานกับใบรับรอง SSL ที่กําหนดเองเนื่องจากนโยบายของ บริษัท ของพวกเขาบางครั้งกําหนดให้ ขั้นตอนต่อไปนี้จะแนะนําคุณเกี่ยวกับการเปลี่ยนใบรับรองสําหรับส่วนประกอบต่างๆ ในสภาพแวดล้อม VxRail
- การเปลี่ยนใบรับรองที่ลงนามด้วยตนเองของ VxRail Manager
- ขั้นตอนนี้สามารถเข้าถึงได้บนพอร์ทัลออนไลน์ของ SolVe ไปที่ ' วิธีการ' ขั้นตอน > 'วิธีการ' เปลี่ยนการตั้งค่าคลัสเตอร์ VxRail อื่น ๆ >เลือกเวอร์ชัน VxRail Manager ปัจจุบันของคุณ> แทนที่ใบรับรอง SSL ของ VxRail Manager จากนั้นสร้างขั้นตอน หากคุณไม่สามารถเข้าถึงพอร์ทัลนั้นได้ ให้ติดต่อฝ่ายสนับสนุนของ Dell สําหรับคําแนะนําเกี่ยวกับการสร้างคําขอลงนามใบรับรองและการแก้ไขไฟล์ใบรับรองที่ได้รับ โปรดดูบทความ KB VxRail: วิธีการสมัครใบรับรองใหม่สําหรับ VxRail Manager
- การแทนที่ใบรับรอง vCenter Server โดยใช้ใบรับรองที่ลงชื่อแล้วของ Custom Certificate Authority (CA)
- ทําตามคําแนะนําที่มีให้ที่ VMware: สร้างคําขอลงนามใบรับรองด้วย vSphere Certificate Manager (Custom Certificates)
- สําหรับภาพรวมที่ดีขึ้นเกี่ยวกับกระบวนการเปลี่ยนใบรับรองโดยใช้ตัวจัดการใบรับรอง โปรดดูที่ VMware KB การแทนที่ใบรับรอง SSL ของเครื่อง vSphere 6.x /7.x ด้วย Custom Certificate Authority Signed Certificate (2112277)
- เมื่อต้องการแสดงวิธีสร้างใบรับรองที่มีลายเซ็นแบบกําหนดเองโดยใช้ PSC โปรดดูบทความ KB Dell VxRail: วิธีสร้าง CSR (คําขอลงนามใบรับรอง) และคีย์ส่วนตัวบน PSC และVxRail: สร้างใบรับรองที่ลงชื่อแบบกําหนดเองจาก PSC
- ทําตามคําแนะนําที่มีให้ที่ VMware: สร้างคําขอลงนามใบรับรองด้วย vSphere Certificate Manager (Custom Certificates)
- สร้างความน่าเชื่อถือใหม่ด้วยตนเองระหว่าง VxRail Manager และ vCenter Server หลังจากการรวมใบรับรองแบบกําหนดเอง
- เมื่อเปลี่ยนใบรับรองเซิร์ฟเวอร์ vCenter ใบรับรองใหม่ควรได้รับการอัปเดตด้วยตนเองบน VxRail Manager VM เพื่อให้สามารถสร้างความไว้วางใจระหว่างทั้งสองหน่วยงานได้ เพื่อให้บรรลุสิ่งนั้นให้ทําตามบทความ KB VxRail: วิธีการนําเข้าใบรับรอง SSL vCenter ด้วยตนเองบน VxRail Manager
- การแทนที่ใบรับรอง SSL โฮสต์ ESXi
- ข้อกําหนดสําหรับคําขอลงนามใบรับรอง ESXi มีอยู่ที่ VMware ที่ https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- หากต้องการเปลี่ยนไปใช้ใบรับรองที่กําหนดเองบนโฮสต์ ESXi ในสภาพแวดล้อม vSAN ให้ทําตาม VMware KB การเพิ่มใบรับรองที่กําหนดเองบนโฮสต์ ESXi ผ่าน CLI (56441)
ขอแนะนําให้สํารองข้อมูลใบรับรอง ESXi เก่า นอก โฮสต์เสมอ (โดยใช้ไคลเอนต์เช่น WinSCP เป็นต้น) เพื่อให้สามารถย้อนกลับได้ในกรณีที่เกิดปัญหาใด ๆ ภายในกระบวนการเปลี่ยน
- ข้อกําหนดสําหรับคําขอลงนามใบรับรอง ESXi มีอยู่ที่ VMware ที่ https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- การแทนที่ใบรับรอง vRealize Log Insight
หากคุณประสบปัญหาใดๆ ระหว่างการเปลี่ยนใบรับรอง โปรดติดต่อฝ่ายสนับสนุนของ Dell เพื่อขอความช่วยเหลือ
Additional Information
ที่เกี่ยวข้องต่อไปนี้เป็นแหล่งข้อมูลที่แนะนําเกี่ยวกับหัวข้อนี้ที่อาจเป็นที่สนใจ: