6.vCenter Serverの設定

下記へサーバ証明書をインストールします。
  • SSO
  • Inventory Service
  • vCenter Server
  • vSphere Web Client
  • Log Browser
※仮のサーバ証明書がすでにインストールされていますので正確には「入れ替え」となります。
※ここに記載した内容はImplementing CA signed SSL certificates with vSphere 5.1を元にしています。

(1) サーバ証明書を取得しコンピュータ・アカウントへ登録します。

下記を参照しSSO~Log Browserのサーバ証明書を取得しコンピュータ・アカウントへ登録します。


サーバ証明書取得時、申請の一部を変えて取得してください。
まったく同じだと証明書のインストールが失敗します。

対象       「部署」欄の入力
SSO         sso
Inventory Service  inventory
vCenter Server   vcenter
vSphere Web Client webclient
Log Browser     logbrowser

取得したサーバ証明書はエクスポートし下記ディレクトリへ保管してください。
この後の説明ではこれを基に説明します。

対象        エクスポート・ファイル保存先
SSO         C:\certs\sso\sso.pfx
Inventory Service  C:\certs\inventory\inventory.pfx
vCenter Server   C:\certs\vcenter\vcenter.pfx
vSphere Web Client C:\certs\webclient\webclient.pfx
Log Browser     C:\certs\logbrowser\logbrowser.pfx

(2) OpenSSLを使用しサーバ証明書のインストールに必要となる各種ファイルを作成します。
  [注意]vSphere 5.1には必ずバージョン0.9.8のOpenSSLを使用してください。(KB2037432

先ずOSSについて説明します。

a) 秘密鍵とサーバ証明書を作成します。

openssl pkcs12 -in c:\certs\sso\vcenter.vdi.net.pfx -nocerts -nodes  -out c:\certs\sso\rui.key

C:\certs>openssl pkcs12 -in c:\certs\sso\vcenter.vdi.net.pfx -nocerts -nodes  -out c:\certs\sso\rui.key
Enter Import Password:*****
MAC verified OK

openssl pkcs12 -in c:\certs\sso\vcenter.vdi.net.pfx -clcerts -nokeys -out c:\certs\sso\rui.crt

C:\certs>openssl pkcs12 -in c:\certs\sso\vcenter.vdi.net.pfx -clcerts -nokeys -out c:\certs\sso\rui.crt
Enter Import Password:*****
MAC verified OK

b) PFX (Personal inFormation eXchange)を作成します。

openssl pkcs12 -export -in c:\certs\sso\rui.crt -inkey c:\certs\sso\rui.key -certfile c:\certs\ore-ore-CA.cer -name "rui" -passout pass:testpassword -out c:\certs\sso\rui.pfx

C:\certs>openssl pkcs12 -export -in c:\certs\sso\rui.crt -inkey c:\certs\sso\rui.key -certfile c:\certs\ore-ore-CA.cer -name "rui" -passout pass:testpassword -out c:\certs\sso\rui.pfx
Loading 'screen' into random state - done

openssl pkcs12 -in c:\certs\rui.pfx -info

C:\certs>openssl pkcs12 -in c:\certs\sso\rui.pfx -info
Enter Import Password:*****
MAC Iteration 2048
MAC verified OK
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes
    friendlyName: rui
    localKeyID: 21 7E 89 E3 61 ED 27 80 9A AC 4A 3E BD 9A 3B 42 50 E4 40 78
subject=/C=JP/ST=dummy/L=dummy/O=dummy/OU=dummy/CN=vcenter.vdi.net/emailAddress=
dummy@dummy.com
issuer=/DC=net/DC=vdi/CN=ore-ore-CA :-P
-----BEGIN CERTIFICATE-----
MIIFpzCCBI+gAwIBAgIKYQzM0AAAAAAABDANBgkqhkiG9w0BAQUFADBDMRMwEQYK
CZImiZPyLGQBGRYDbmV0MRMwEQYKCZImiZPyLGQBGRYDdmRpMRcwFQYDVQQDEw5v
cmUtb3JlLUNBIDotUDAeFw0xMzAyMTMyMTA1MzJaFw0xNTAyMTMyMTA1MzJaMIGH
==(省略)==
OvtzBIgoAKpf0vIMV/1ZfZzjypLibzpoAdUB0TJAtMzVXKBWbbI/HWdqI3WMWcUT
E+60JzZ+izT7ZrNoTS7V9XqgWX8QJhwie+sOVvtolPohpZvjgU7Q9TQC8jG9GaZv
uY2T7a2rz+k5ZordkAzo/pNbruXifF4LjARm2cPFX8weLHHEOfKYCyjt0U8VWCYY
/tA=
-----END ENCRYPTED PRIVATE KEY-----

c) JSK (Java Keystore)を作成します。

cd "C:\Program Files\VMware\Infrastructure\jre\bin"

keytool -v -importkeystore -srckeystore c:\certs\sso\rui.pfx -srcstoretype pkcs12 -srcstorepass testpassword -srcalias rui -destkeystore c:\certs\sso\root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword

C:\Program Files\VMware\Infrastructure\jre\bin>keytool -v -importkeystore -srckeystore c:\certs\sso\rui.pfx -srcstoretype pkcs12 -srcstorepass testpassword -srcalias rui -destkeystore c:\certs\sso\root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
[C:\certs\root-trust.jks を格納中]

keytool -v -importcert -keystore c:\certs\sso\root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file c:\certs\ore-ore-CA.cer -alias root-ca

C:\Program Files\VMware\Infrastructure\jre\bin>keytool -v -importcert -keystore c:\certs\sso\root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file c:\certs\ore-ore-CA.cer -alias root-ca
所有者: CN=ore-ore-CA :-P, DC=vdi, DC=net
発行者: CN=ore-ore-CA :-P, DC=vdi, DC=net
シリアル番号: 24a54875a6c7c4a54b94bd0e5a8b48a5
有効期間の開始日: Thu Feb 14 05:19:49 JST 2013 終了日: Wed Feb 14 05:29:48 JST 2
018
証明書のフィンガープリント:
         MD5:  E2:96:0A:54:70:A3:FB:A5:25:60:D7:B3:D0:41:DD:E7
         SHA1: 06:57:37:11:33:76:3C:97:6F:2A:55:05:F1:24:67:73:06:C1:54:72
         署名アルゴリズム名: SHA1withRSA
         バージョン: 3

拡張:

#1: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

#2: ObjectId: 2.5.29.15 Criticality=false
KeyUsage [
  DigitalSignature
  Key_CertSign
  Crl_Sign
]

#3: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 53 F6 9D BD 64 D1 3A C7   03 AF 80 21 0C 48 5A 14  S...d.:....!.HZ.
0010: 06 22 D9 14                                        ."..
]
]

#4: ObjectId: 1.3.6.1.4.1.311.21.1 Criticality=false

この証明書を信頼しますか? [no]:  yes
証明書がキーストアに追加されました。
[C:\certs\root-trust.jks を格納中]

Copy c:\certs\sso\root-trust.jks c:\certs\sso\server-identity.jks

C:\Program Files\VMware\Infrastructure\jre\bin>Copy c:\certs\sso\root-trust.jks c:\certs\sso\server-identity.jks
        1 個のファイルをコピーしました。

同様の操作を下記についても行なってください。
  • Inventory Service
  • vCenter Server
  • vSphere Web Client
  • Log Browser
<使用コマンド>

openssl pkcs12 -in C:\certs\inventory\inventory.pfx -nocerts -nodes  -out C:\certs\inventory\rui.key
openssl pkcs12 -in C:\certs\inventory\inventory.pfx -clcerts -nokeys -out C:\certs\inventory\rui.crt
openssl pkcs12 -export -in C:\certs\inventory\rui.crt -inkey C:\certs\inventory\rui.key -certfile c:\certs\ore-ore-CA.cer -name "rui" -passout pass:testpassword -out C:\certs\inventory\rui.pfx
cd "C:\Program Files\VMware\Infrastructure\jre\bin"
keytool -v -importkeystore -srckeystore C:\certs\inventory\rui.pfx -srcstoretype pkcs12 -srcstorepass testpassword -srcalias rui -destkeystore C:\certs\inventory\root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
keytool -v -importcert -keystore C:\certs\inventory\root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file c:\certs\ore-ore-CA.cer -alias root-ca
Copy c:\certs\inventory\root-trust.jks c:\certs\inventory\server-identity.jks

openssl pkcs12 -in C:\certs\vcenter\vcenter.pfx -nocerts -nodes  -out C:\certs\vcenter\rui.key
openssl pkcs12 -in C:\certs\vcenter\vcenter.pfx -clcerts -nokeys -out C:\certs\vcenter\rui.crt
openssl pkcs12 -export -in C:\certs\vcenter\rui.crt -inkey C:\certs\vcenter\rui.key -certfile c:\certs\ore-ore-CA.cer -name "rui" -passout pass:testpassword -out C:\certs\vcenter\rui.pfx
cd "C:\Program Files\VMware\Infrastructure\jre\bin"
keytool -v -importkeystore -srckeystore C:\certs\vcenter\rui.pfx -srcstoretype pkcs12 -srcstorepass testpassword -srcalias rui -destkeystore C:\certs\vcenter\root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
keytool -v -importcert -keystore C:\certs\vcenter\root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file c:\certs\ore-ore-CA.cer -alias root-ca
Copy c:\certs\vcenter\root-trust.jks c:\certs\vcenter\server-identity.jks

openssl pkcs12 -in C:\certs\webclient\webclient.pfx -nocerts -nodes  -out C:\certs\webclient\rui.key
openssl pkcs12 -in C:\certs\webclient\webclient.pfx -clcerts -nokeys -out C:\certs\webclient\rui.crt
openssl pkcs12 -export -in C:\certs\webclient\rui.crt -inkey C:\certs\webclient\rui.key -certfile c:\certs\ore-ore-CA.cer -name "rui" -passout pass:testpassword -out C:\certs\webclient\rui.pfx
cd "C:\Program Files\VMware\Infrastructure\jre\bin"
keytool -v -importkeystore -srckeystore C:\certs\webclient\rui.pfx -srcstoretype pkcs12 -srcstorepass testpassword -srcalias rui -destkeystore C:\certs\webclient\root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
keytool -v -importcert -keystore C:\certs\webclient\root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file c:\certs\ore-ore-CA.cer -alias root-ca
Copy c:\certs\webclient\root-trust.jks c:\certs\webclient\server-identity.jks

openssl pkcs12 -in C:\certs\logbrowser\logbrowser.pfx -nocerts -nodes  -out C:\certs\logbrowser\rui.key
openssl pkcs12 -in C:\certs\logbrowser\logbrowser.pfx -clcerts -nokeys -out C:\certs\logbrowser\rui.crt
openssl pkcs12 -export -in C:\certs\logbrowser\rui.crt -inkey C:\certs\logbrowser\rui.key -certfile c:\certs\ore-ore-CA.cer -name "rui" -passout pass:testpassword -out C:\certs\logbrowser\rui.pfx
cd "C:\Program Files\VMware\Infrastructure\jre\bin"
keytool -v -importkeystore -srckeystore C:\certs\logbrowser\rui.pfx -srcstoretype pkcs12 -srcstorepass testpassword -srcalias rui -destkeystore C:\certs\logbrowser\root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
keytool -v -importcert -keystore C:\certs\logbrowser\root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file c:\certs\ore-ore-CA.cer -alias root-ca
Copy c:\certs\logbrowser\root-trust.jks c:\certs\logbrowser\server-identity.jks


(3) SSOへサーバ証明書をインストールします。(デフォルトのサーバ証明書を入れ替え)

a) サービスIDを調べます。

SET JAVA_HOME=C:\Program Files\VMware\Infrastructure\jre

C:\"Program Files"\VMware\Infrastructure\SSOServer\ssolscli\ssolscli.cmd listServices https://vcenter.vdi.net:7444/lookupservice/sdk

C:\certs>C:\"Program Files"\VMware\Infrastructure\SSOServer\ssolscli\ssolscli.cmd listServices https://vcenter.vdi.net:7444/lookupservice/sdk
Intializing registration provider...
Getting SSL certificates for https://vcenter.vdi.net:7444/lookupservice/sdk
Getting SSL certificates for https://vcenter.vdi.net:7444/sso-adminserver/sdk
Anonymous execution
Found 6 services.

==(省略)==

Service 3
-----------
serviceId={BA1EC84E-7E74-433D-9E98-60B42D243169}:3
serviceName=The group check interface of the SSO server
type=urn:sso:groupcheck
endpoints={[url=https://vcenter.vdi.net:7444/sso-adminserver/sdk,protocol=vmomi]
}
version=1.0
description=The group check interface of the SSO server
ownerId=<null>
productId=<null>
viSite={BA1EC84E-7E74-433D-9E98-60B42D243169}

Service 4
-----------
serviceId={BA1EC84E-7E74-433D-9E98-60B42D243169}:1
serviceName=The administrative interface of the SSO server
type=urn:sso:admin
endpoints={[url=https://vcenter.vdi.net:7444/sso-adminserver/sdk,protocol=vmomi]
}
version=1.0
description=The administrative interface of the SSO server
ownerId=<null>
productId=<null>
viSite={BA1EC84E-7E74-433D-9E98-60B42D243169}

Service 5
-----------
serviceId={BA1EC84E-7E74-433D-9E98-60B42D243169}:2
serviceName=The security token service interface of the SSO server
type=urn:sso:sts
endpoints={[url=https://vcenter.vdi.net:7444/ims/STSService?wsdl,protocol=wsTrus
t]}
version=1.0
description=The security token service interface of the SSO server
ownerId=<null>
productId=<null>
viSite={BA1EC84E-7E74-433D-9E98-60B42D243169}

==(省略)==

Return code is: Success
0

b) ファイルを作成します。

c:\certs\gc.properties …下記内容で作成します。

[service]
friendlyName=The group check interface of the SSO server
version=1.0
ownerId=
type=urn:sso:groupcheck
description=The group check interface of the SSO server

[endpoint0]
uri=https://vcenter.vdi.net:7444/sso-adminserver/sdk
ssl=C:\certs\ore-ore-CA.cer
protocol=vmomi

c:\certs\admin.properties …下記内容で作成します。

[service]
friendlyName=The administrative interface of the SSO server
version=1.0
ownerId=
type=urn:sso:admin
description=The administrative interface of the SSO server

[endpoint0]
uri=https://vcenter.vdi.net:7444/sso-adminserver/sdk
ssl=C:\certs\ore-ore-CA.cer
protocol=vmomi

c:\certs\sts.properties …下記内容で作成します。

[service]
friendlyName=STS for Single Sign On
version=1.0
ownerId=
type=urn:sso:sts
description=The Security Token Service of the Single Sign On server.

[endpoint0]
uri=https://vcenter.vdi.net:7444/ims/STSService
ssl=C:\certs\ore-ore-CA.cer
protocol=wsTrust

c:\certs\gc_id …前のステップで調べたサービスIDで作成します。

{BA1EC84E-7E74-433D-9E98-60B42D243169}:3

c:\certs\admin_id …前のステップで調べたサービスIDで作成します。

{BA1EC84E-7E74-433D-9E98-60B42D243169}:1

c:\certs\sts_id …前のステップで調べたサービスIDで作成します。

{BA1EC84E-7E74-433D-9E98-60B42D243169}:2

c) vCenter Single Sign On サービスを停止します。

net stop "vCenter Single Sign On"

C:\certs>net stop "vCenter Single Sign On"
vCenter Single Sign On サービスを停止中です...
vCenter Single Sign On サービスは正常に停止されました。

d) root-trust.jks および server-identity.jks をバックアップし入れ替えます。

mkdir C:\"Program Files"\VMware\Infrastructure\SSOServer\security\backup
move C:\"Program Files"\VMware\Infrastructure\SSOServer\security\root-trust.jks C:\"Program Files"\VMware\Infrastructure\SSOServer\security\backup
move C:\"Program Files"\VMware\Infrastructure\SSOServer\security\server-identity.jks C:\"Program Files"\VMware\Infrastructure\SSOServer\security\backup
Copy C:\certs\root-trust.jks C:\"Program Files"\VMware\Infrastructure\SSOServer\security
Copy C:\certs\server-identity.jks C:\"Program Files"\VMware\Infrastructure\SSOServer\security

e)  vCenter Single Sign On を更新します。

SET JAVA_HOME=C:\Program Files\VMware\Infrastructure\jre
C:\"Program Files"\VMware\Infrastructure\SSOServer\utils\ssocli configure-riat -a configure-ssl --keystore-file C:\certs\root-trust.jks --keystore-password testpassword

C:\certs>SET JAVA_HOME=C:\Program Files\VMware\Infrastructure\jre
C:\certs>C:\"Program Files"\VMware\Infrastructure\SSOServer\utils\ssocli configure-riat -a configure-ssl --keystore-file C:\certs\root-trust.jks --keystore-password testpassword
Enter master password: ********
Executing action: 'configure-ssl'
Updating SSL configuration
Successfully executed action: 'configure-ssl'

f) vCenter Single Sign On サービスを起動します。

net start "vCenter Single Sign On"

C:\certs>net start "vCenter Single Sign On"
vCenter Single Sign On サービスを開始します..
vCenter Single Sign On サービスは正常に開始されました。

g) 3つのサービスを更新します。

SET JAVA_HOME=C:\Program Files\VMware\Infrastructure\jre

C:\"Program Files"\VMware\Infrastructure\SSOServer\ssolscli\ssolscli updateService -d https://vcenter.vdi.net:7444/lookupservice/sdk -u admin@system-domain -p #1System -si c:\certs\sts_id -ip c:\certs\sts.properties

※#1System : vCenter Server のインストールで指定したSSOのパスワードです。

C:\certs>C:\"Program Files"\VMware\Infrastructure\SSOServer\ssolscli\ssolscli updateService -d https://vcenter.vdi.net:7444/lookupservice/sdk -u admin@system-domain -p #1System -si c:\certs\sts_id -ip c:\certs\sts.properties
Intializing registration provider...
Getting SSL certificates for https://vcenter.vdi.net:7444/lookupservice/sdk
Getting SSL certificates for https://vcenter.vdi.net:7444/sso-adminserver/sdk
Service with name 'STS for Single Sign On' and ID '{BA1EC84E-7E74-433D-9E98-60B42D243169}:2' was updated.
Return code is: Success
0

C:\"Program Files"\VMware\Infrastructure\SSOServer\ssolscli\ssolscli updateService -d https://vcenter.vdi.net:7444/lookupservice/sdk -u admin@system-domain -p #1System -si c:\certs\gc_id -ip c:\certs\gc.properties

※#1System : vCenter Server のインストールで指定したSSOのパスワードです。

C:\certs>C:\"Program Files"\VMware\Infrastructure\SSOServer\ssolscli\ssolscli updateService -d https://vcenter.vdi.net:7444/lookupservice/sdk -u admin@system-domain -p #1System -si c:\certs\gc_id -ip c:\certs\gc.properties
Intializing registration provider...
Getting SSL certificates for https://vcenter.vdi.net:7444/lookupservice/sdk
Getting SSL certificates for https://vcenter.vdi.net:7444/sso-adminserver/sdk
Service with name 'The group check interface of the SSO server' and ID '{BA1EC84E-7E74-433D-9E98-60B42D243169}:3' was updated.
Return code is: Success
0

C:\"Program Files"\VMware\Infrastructure\SSOServer\ssolscli\ssolscli updateService -d https://vcenter.vdi.net:7444/lookupservice/sdk -u admin@system-domain -p #1System -si c:\certs\admin_id -ip c:\certs\admin.properties

※#1System : vCenter Server のインストールで指定したSSOのパスワードです。

C:\certs>C:\"Program Files"\VMware\Infrastructure\SSOServer\ssolscli\ssolscli updateService -d https://vcenter.vdi.net:7444/lookupservice/sdk -u admin@system-domain -p #1System -si c:\certs\admin_id -ip c:\certs\admin.properties
Intializing registration provider...
Getting SSL certificates for https://vcenter.vdi.net:7444/lookupservice/sdk
Getting SSL certificates for https://vcenter.vdi.net:7444/sso-adminserver/sdk
Service with name 'The administrative interface of the SSO server' and ID '{BA1EC84E-7E74-433D-9E98-60B42D243169}:1' was updated.
Return code is: Success
0

C:\certs>C:\"Program Files"\VMware\Infrastructure\SSOServer\ssolscli\ssolscli.cmd listServices https://vcenter.vdi.net:7444/lookupservice/sdk

C:\certs>C:\"Program Files"\VMware\Infrastructure\SSOServer\ssolscli\ssolscli.cmd listServices https://vcenter.vdi.net:7444/lookupservice/sdk
Intializing registration provider...
Getting SSL certificates for https://vcenter.vdi.net:7444/lookupservice/sdk
Getting SSL certificates for https://vcenter.vdi.net:7444/sso-adminserver/sdk
Anonymous execution
Found 6 services.

==(省略)==

Service 3
-----------
serviceId={BA1EC84E-7E74-433D-9E98-60B42D243169}:3
serviceName=The group check interface of the SSO server
type=urn:sso:groupcheck
endpoints={[url=https://vcenter.vdi.net:7444/sso-adminserver/sdk,protocol=vmomi]}
version=1.0
description=The group check interface of the SSO server
ownerId=
productId=<null>
viSite={BA1EC84E-7E74-433D-9E98-60B42D243169}

Service 4
-----------
serviceId={BA1EC84E-7E74-433D-9E98-60B42D243169}:1
serviceName=The administrative interface of the SSO server
type=urn:sso:admin
endpoints={[url=https://vcenter.vdi.net:7444/sso-adminserver/sdk,protocol=vmomi]}
version=1.0
description=The administrative interface of the SSO server
ownerId=
productId=<null>
viSite={BA1EC84E-7E74-433D-9E98-60B42D243169}

Service 5
-----------
serviceId={BA1EC84E-7E74-433D-9E98-60B42D243169}:2
serviceName=STS for Single Sign On
type=urn:sso:sts
endpoints={[url=https://vcenter.vdi.net:7444/ims/STSService,protocol=wsTrust]}
version=1.0
description=The Security Token Service of the Single Sign On server.
ownerId=
productId=<null>
viSite={BA1EC84E-7E74-433D-9E98-60B42D243169}

==(省略)==

Return code is: Success
0

h) ルート証明書をインストールします。

openssl x509 -subject_hash -noout -in C:\certs\ore-ore-CA.cer

C:\certs>openssl x509 -subject_hash -noout -in C:\certs\ore-ore-CA.cer
83fb85a1

copy C:\certs\ore-ore-CA.cer C:\certs\83fb85a1.0
mkdir C:\ProgramData\VMware\SSL\bacup
move C:\ProgramData\VMware\SSL\*.* C:\ProgramData\VMware\SSL\bacup
copy C:\certs\ore-ore-CA.cer C:\ProgramData\VMware\SSL\ca_certificates.crt
copy C:\certs\83fb85a1.0 C:\ProgramData\VMware\SSL

i) Security Token Service へルート証明書をインストールします。

vSphere Web Client サービスを再起動します。

net stop "VMware vSphere Web Client"

C:\certs>net stop "VMware vSphere Web Client"
VMware vSphere Web Client サービスを停止中です...
VMware vSphere Web Client サービスは正常に停止されました。

net start "VMware vSphere Web Client"

C:\certs>net start "VMware vSphere Web Client"
VMware vSphere Web Client サービスを開始します..
VMware vSphere Web Client サービスは正常に開始されました。

vSphere Web Client へ 管理者 admin@system-domain でログインし下記操作を行います。

https://vcenter.vdi.net:9443/vsphere-client/
下記ファイルを選択します。
C:\Program Files\VMware\Infrastructure\SSOServer\Security\root-trust.jks
パスワードtestpasswordを入力します。
パスワードtestpasswordを入力します。

サーバを再起動しSecurity Token Service を確認します。


(4) Inventory Serviceへサーバ証明書をインストールします。(デフォルトのサーバ証明書を入れ替え)

a) SSOサービスからInventoryサービス登録を解除します。

C:\"Program Files"\VMware\Infrastructure\"Inventory Service"\scripts\unregister-sso.bat https://vcenter.vdi.net:7444/lookupservice/sdk admin@system-domain #1System

※#1System : vCenter Server のインストールで指定したSSOのパスワードです。

C:\Users\administrator.VDI\Desktop>C:\"Program Files"\VMware\Infrastructure\"Inventory Service"\scripts\unregister-sso.bat https://vcenter.vdi.net:7444/lookupservice/sdk admin@system-domain #1System
Intializing registration provider...
Getting SSL certificates for https://vcenter.vdi.net:7444/lookupservice/sdk
Getting SSL certificates for https://vcenter.vdi.net:7444/sso-adminserver/sdk
Return code is: Success
0

b) Inventoryサービスを停止します。

net stop "VMware vCenter Inventory Service"

C:\Users\administrator.VDI\Desktop>net stop "VMware vCenter Inventory Service"
VMware vCenter Inventory Service サービスを停止中です...
VMware vCenter Inventory Service サービスは正常に停止されました。

c) サーバ証明書を入れ替えます。

cd C:\ProgramData\VMware\Infrastructure\"Inventory Service"\ssl
mkdir backup
move rui.crt .\backup
move rui.key .\backup
move rui.pfx .\backup
copy C:\certs\inventory\rui.crt .\
copy C:\certs\inventory\rui.key .\
copy C:\certs\inventory\rui.pfx .\

d) SSOサービスにInventoryサービスを登録します。

SSO登録用のバッチ・ファイル
C:\Program Files\VMware\Infrastructure\Inventory Service\scripts\register-sso.bat
を開いて内容が下記(赤字)になっていることを確認します。違っていれば修正します。

set COMMAND="%PATH_ROOT%/sso/regTool.cmd" registerSolution --ls-url %1 --username "%2" --password "%3" --install-props "%PATH_ROOT%/conf/sso.ini" --role read

SSOサービスにInventoryサービスを登録します。

C:\"Program Files"\VMware\Infrastructure\"Inventory Service"\scripts\register-sso.bat https://vcenter.vdi.net:7444/lookupservice/sdk admin@system-domain #1System

※#1System : vCenter Server のインストールで指定したSSOのパスワードです。

C:\ProgramData\VMware\Infrastructure\Inventory Service\ssl>C:\"Program Files"\VMware\Infrastructure\"Inventory Service"\scripts\register-sso.bat https://vcenter.vdi.net:7444/lookupservice/sdk admin@system-domain #1System
Intializing registration provider...
Getting SSL certificates for https://vcenter.vdi.net:7444/lookupservice/sdk
Getting SSL certificates for https://vcenter.vdi.net:7444/sso-adminserver/sdk
Solution user with id: {Name: InventoryService_2013.02.14_084537, Domain: System-Domain} successfully registered
Successfully assigned role "RegularUser" to user "{Name: InventoryService_2013.02.14_084537, Domain: System-Domain}"
Return code is: Success
0

e) Inventoryサービスを起動します。

net start "VMware vCenter Inventory Service"

C:\ProgramData\VMware\Infrastructure\Inventory Service\ssl>net start "VMware vCenter Inventory Service"
VMware vCenter Inventory Service サービスを開始します....
VMware vCenter Inventory Service サービスは正常に開始されました。

(5) vCenter Serverへサーバ証明書をインストールします。(デフォルトのサーバ証明書を入れ替え)

a) サーバ証明書を抽出します。
  先にopensslで抽出したサーバ証明書をvCenter Serverが何故か復号できないようです。
  下記手順で再度抽出してください。

C:\certs\vcenter\rui.cerで保存します。

b) サーバ証明書を入れ替えます。

cd C:\ProgramData\VMware\"VMware VirtualCenter"\SSL
mkdir backup
move rui.crt .\backup
move rui.key .\backup
move rui.pfx .\backup
copy c:\certs\vcenter\rui.cer .\rui.crt
copy c:\certs\vcenter\rui.key .\
copy c:\certs\vcenter\rui.pfx .\

c) サーバ証明書をロードします。

https://localhost/mob/?moid=vpxd-securitymanager&vmodl=1

d) vCenter Server を Inventoryサービスへ登録します。

cd C:\"Program Files"\VMware\Infrastructure\"VirtualCenter Server"\isregtool
register-is.bat https://vcenter.vdi.net/sdk https://vcenter.vdi.net:10443/ https://vcenter.vdi.net:7444/lookupservice/sdk

C:\Program Files\VMware\Infrastructure\VirtualCenter Server\isregtool>register-is.bat https://vcenter.vdi.net/sdk https://vcenter.vdi.net:10443/ https://vcenter.vdi.net:7444/lookupservice/sdk
==(省略)==
Wrote back fixed file
Endpoint successfully registered
Extension successfully registered
Asynchronous execution requested but no Executor configured. The request will be executed as synchronous one.
Asynchronous execution requested but no Executor configured. The request will be executed as synchronous one.
This VC provider is already registered with this Inventory Service.  Reconfiguring...
Asynchronous execution requested but no Executor configured. The request will be executed as synchronous one.
Successfully completed register operation
Removing Client@663010459 reference from CompiledHttpConfiguration@1142331577, 0 active clients left.
Shutting down CompiledHttpConfiguration@1142331577 as there are no more clients.
Removing Client@1094268300 reference from CompiledHttpConfiguration@839151507, 0 active clients left.
Shutting down CompiledHttpConfiguration@839151507 as there are no more clients.
Client was disposed successfully
Registration completed
Finished performing register action
0
0

e) 新しいサーバ証明書を使ってvCenter Server DBのパスワードを暗号化します。

C:\"Program Files"\VMware\Infrastructure\"VirtualCenter Server"\vpxd -p

C:\Program Files\VMware\Infrastructure\VirtualCenter Server\isregtool>C:\"Program Files"\VMware\Infrastructure\"VirtualCenter Server"\vpxd -p

------ In-memory logs start --------
mem> 2013-03-04T21:05:21.896+09:00 [04148 info 'Default'] Process attached
mem> 2013-03-04T21:05:21.990+09:00 [04148 info 'Hooks'] Hooks Initialized

------ In-memory logs end   --------
2013-03-04T21:05:22.005+09:00 [04148 info 'Default'] Logging uses fast path: true
2013-03-04T21:05:22.005+09:00 [04148 info 'Default'] Handling bora/lib logs with VmaCore facilities
2013-03-04T21:05:22.005+09:00 [04148 info 'Default'] Initialized channel manager
2013-03-04T21:05:22.021+09:00 [04148 info 'Default'] Current working directory: C:\Program Files\VMware\Infrastructure\VirtualCenter Server\isregtool
2013-03-04T21:05:22.021+09:00 [04148 info 'Default'] ThreadPool windowsStackImmediateCommit = true
2013-03-04T21:05:22.021+09:00 [04148 info 'ThreadPool'] Thread enlisted
2013-03-04T21:05:22.021+09:00 [04148 info 'Default'] Log path: C:\ProgramData\VMware\VMware VirtualCenter\Logs
2013-03-04T21:05:22.021+09:00 [04148 info 'Default'] Initializing SSL
2013-03-04T21:05:22.021+09:00 [04676 info 'Default'] Thread attached
2013-03-04T21:05:23.035+09:00 [04148 info 'Default'] Vmacore::InitSSL: handshakeTimeoutUs = 120000000
2013-03-04T21:05:23.035+09:00 [04980 info 'Default'] Thread attached
2013-03-04T21:05:23.035+09:00 [04980 info 'ThreadPool'] Thread enlisted
Enter new DB password:****** (注1)
again:
2013-03-04T21:05:33.285+09:00 [04148 info 'Default'] Reset DB password succeeded.

(注1) 必ず現行のvCenter Server DBパスワードを入力してください。

f) サービスを再起動します。

net stop "VMware VirtualCenter Server"

c:\Program Files\VMware\Infrastructure\VirtualCenter Server\isregtool>net stop "VMware VirtualCenter Server"
次のサービスは VMware VirtualCenter Server サービスに依存しています。
VMware VirtualCenter Server サービスを停止すると、これらのサービスも停止されます。

   VMware VirtualCenter Management Webservices

この操作を続行しますか? (Y/N) [N]: y
VMware VirtualCenter Management Webservices サービスを停止中です....
VMware VirtualCenter Management Webservices サービスは正常に停止されました。

VMware VirtualCenter Server サービスを停止中です........
VMware VirtualCenter Server サービスを停止できませんでした。

net stop "VMware vSphere Profile-Driven Storage Service"

c:\Program Files\VMware\Infrastructure\VirtualCenter Server\isregtool>net stop "VMware vSphere Profile-Driven Storage Service"
VMware vSphere Profile-Driven Storage Service サービスを停止中です..
VMware vSphere Profile-Driven Storage Service サービスは正常に停止されました。

net start "VMware VirtualCenter Server"

c:\Program Files\VMware\Infrastructure\VirtualCenter Server\isregtool>net start "VMware VirtualCenter Server"
VMware VirtualCenter Server サービスを開始します...
VMware VirtualCenter Server サービスは正常に開始されました。

net start "VMware vSphere Profile-Driven Storage Service"

c:\Program Files\VMware\Infrastructure\VirtualCenter Server\isregtool>net start "VMware vSphere Profile-Driven Storage Service"
VMware vSphere Profile-Driven Storage Service サービスを開始します..
VMware vSphere Profile-Driven Storage Service サービスは正常に開始されました。

g) サーバ証明書を確認します。

https://vcenter.vdi.net

(6) vSphere Web Client and Log Browserへサーバ証明書をインストールします。(デフォルトのサーバ証明書を入れ替え)

a) サービスを停止します。

net stop "VMware vSphere Web Client"

C:\certs>net stop "VMware vSphere Web Client"
VMware vSphere Web Client サービスを停止中です...
VMware vSphere Web Client サービスは正常に停止されました。

net stop "VMware Log Browser"

C:\certs>net stop "VMware Log Browser"
..
VMware Log Browser サービスは正常に停止されました。

b) サーバ証明書を入れ替えます。

cd C:\ProgramData\VMware\"vSphere Web Client"\ssl
mkdir backup
move rui.crt .\backup
move rui.key .\backup
move rui.pfx .\backup
copy c:\certs\webclient\rui.crt .\
copy c:\certs\webclient\rui.key .\
copy c:\certs\webclient\rui.pfx .\

cd C:\"Program Files"\VMware\Infrastructure\vSphereWebClient\logbrowser\conf
mkdir backup
move rui.crt .\backup
move rui.key .\backup
move rui.pfx .\backup
copy c:\certs\logbrowser\rui.crt .\
copy c:\certs\logbrowser\rui.key .\
copy c:\certs\logbrowser\rui.pfx .\

c) SSOからvSphere Web Clientサービス登録を解除します。

set JAVA_HOME=c:\Program Files\VMware\Infrastructure\JRE
cd "C:\Program Files\VMware\Infrastructure\vSphereWebClient\SsoRegTool"
regTool.cmd unregisterService -si "C:\Program Files\VMware\Infrastructure\vSphereWebClient\serviceId" -d https://vcenter.vdi.net:7444/lookupservice/sdk -u admin@System-Domain -p #1System

※#1System : vCenter Server のインストールで指定したSSOのパスワードです。

C:\Program Files\VMware\Infrastructure\vSphereWebClient\SsoRegTool>regTool.cmd unregisterService -si "C:\Program Files\VMware\Infrastructure\vSphereWebClient\se
rviceId" -d https://vcenter.vdi.net:7444/lookupservice/sdk -u admin@System-Domain -p #1System
Intializing registration provider...
Getting SSL certificates for https://vcenter.vdi.net:7444/lookupservice/sdk
Getting SSL certificates for https://vcenter.vdi.net:7444/sso-adminserver/sdk
Service with id "{BA1EC84E-7E74-433D-9E98-60B42D243169}:8" is successfully unregistered
Service with id "{BA1EC84E-7E74-433D-9E98-60B42D243169}:9" is successfully unregistered
Return code is: Success
0

d) SSOへvSphere Web Clientサービスを登録します。

set JAVA_HOME=c:\Program Files\VMware\Infrastructure\JRE
cd "C:\Program Files\VMware\Infrastructure\vSphereWebClient\SsoRegTool"
regTool.cmd registerService --cert "C:\ProgramData\VMware\vSphere Web Client\ssl" --ls-url https://vcenter.vdi.net:7444/lookupservice/sdk --username admin@System-Domain --password #1System --dir "C:\Program Files\VMware\Infrastructure\vSphereWebClient\SsoRegTool\sso_conf" --ip "*.*" --serviceId-file "C:\Program Files\VMware\Infrastructure\vSphereWebClient\serviceId"

※#1System : vCenter Server のインストールで指定したSSOのパスワードです。

C:\Program Files\VMware\Infrastructure\vSphereWebClient\SsoRegTool>regTool.cmd registerService --cert "C:\ProgramData\VMware\vSphere Web Client\ssl" --ls-url ht
tps://vcenter.vdi.net:7444/lookupservice/sdk --username admin@System-Domain --password #1System --dir "C:\Program Files\VMware\Infrastructure\vSphereWebClient\S
soRegTool\sso_conf" --ip "*.*" --serviceId-file "C:\Program Files\VMware\Infrastructure\vSphereWebClient\serviceId"
Intializing registration provider...
Getting SSL certificates for https://vcenter.vdi.net:7444/lookupservice/sdk
Getting SSL certificates for https://vcenter.vdi.net:7444/sso-adminserver/sdk
Service with name 'VMware Log Browser' was registered with ID: '{BA1EC84E-7E74-433D-9E98-60B42D243169}:10'
Appending serviceId to file
Service with name 'VMware vSphere Web Client' was registered with ID: '{BA1EC84E-7E74-433D-9E98-60B42D243169}:11'
Appending serviceId to file
Certificates saved successfully
Return code is: Success
0

e) 古いサービスIDを削除します。

C:\Program Files\VMware\Infrastructure\vSphereWebClient\serviceId をエディタで開き削除します。

{BA1EC84E-7E74-433D-9E98-60B42D243169}:8
{BA1EC84E-7E74-433D-9E98-60B42D243169}:9
{BA1EC84E-7E74-433D-9E98-60B42D243169}:10
{BA1EC84E-7E74-433D-9E98-60B42D243169}:11

f) サービスを起動します。

net start "VMware vSphere Web Client"

C:\Program Files\VMware\Infrastructure\vSphereWebClient\SsoRegTool>net start "VMware vSphere Web Client"
VMware vSphere Web Client サービスを開始します..
VMware vSphere Web Client サービスは正常に開始されました。

net start "VMware Log Browser"

C:\Program Files\VMware\Infrastructure\vSphereWebClient\SsoRegTool>net start "VMware Log Browser"
VMware Log Browser サービスを開始します........
VMware Log Browser サービスは正常に開始されました。

g) サーバ証明書を確認します。

https://vcenter.vdi.net:9443/vsphere-client

h) サーバを再起動します。

サーバを再起動出来ない場合は下記を実行します。

net stop "VMware Log Browser"
net stop "VMware vSphere Web Client"
net stop "VMware VirtualCenter Server"
net stop "VMware vCenter Inventory service"
net stop "vCenter Single Sign On"

net start "vCenter Single Sign On"
net start "VMware vCenter Inventory service"
net start "VMware VirtualCenter Server service"
net start "VMware VirtualCenter Management WebServices"
net start "VMware vSphere Web Client"
net start "VMware Log Browser"

以上です。
Comments