对于核心 vCenter 组件,可以使用证书自动化工具生成证书请求并将默认证书替换为自签名证书或 CA 签名的证书。还可以不使用此工具而从命令行生成请求、创建证书和替换证书。

信息来源

您希望替换证书的方式决定信息的来源。可以通过多种方式执行证书替换。

  • 在 Windows 环境中使用证书替换工具,如本文档中所述。

  • 在 Windows 中显式替换证书,如 VMware 知识库文章 2058519 中所述。

  • 在 vCenter Server Appliance 中替换证书,如 VMware 知识库文章 2057223 中所述。

如果您希望使用 CA 签名的证书,则必须为每个组件生成一个证书请求 (CSR)。可以使用此工具生成 CSR。有关证书要求的列表,请参见准备您的环境

证书替换工具概述

证书自动化工具是一个命令行工具,可帮助您替换下面列出的核心 vCenter 组件的证书。大多数情况下,应将默认证书替换为自定义证书。可以在安装所有 vCenter 组件后使用此工具。如果您向 vSphere 环境中添加了新组件,则可以重新运行此工具,对新组件执行证书替换操作。在 vCenter Server 系统或 vCenter Single Sign-On 服务器等 vCenter 组件上运行此工具时,将执行以下任务。

  • 提示您提供所需输入。

  • 验证输入(x.509 证书及 URL 格式)。

  • 更新某个组件以及该组件公开的服务的相应 LookupService 条目的 SSL 证书(如有需要)。

  • 重新启动相应的服务(如有需要)。

  • 更新该组件对自身连接到的所有其他组件的信任。重新启动该组件(如有需要)。

  • 根据需要向用户提供后续步骤。

注:

通过此工具进行证书替换已经过测试,可以对 vCenter Single Sign-On、vCenter Inventory Service、vCenter Server、vSphere Web Client、vSphere Update Manager、vCenter 日志浏览器和 vCenter Orchestrator 使用。如果您需要对其他 vSphere 组件执行证书替换,请参见该产品的 VMware 文档或 VMware 知识库中的说明。作为过程的一部分,您可能需要在支持的其中一个组件上更新证书。

此工具支持以下 vCenter 组件:

  • vCenter Single Sign-On

  • vCenter Inventory Service

  • vCenter Server

  • vSphere Web Client

  • vSphere Update Manager

  • vCenter 日志浏览器

  • vCenter Orchestrator

每个组件都必须具有一个 SSL 证书和一个解决方案用户证书。大多数组件使用相同的证书来实现这两种目的。在 Windows 上,解决方案用户证书必须唯一,因此需要为每个组件提供一个唯一的 SSL 证书。

升级

如果您替换了 vSphere 版本 5.0 或 5.1 中的默认证书,然后升级到 vSphere 版本 5.5,则会迁移证书。如果您在升级过程中希望替换默认证书,可以在升级后运行证书自动化工具。