在运行 vCenter 证书自动化工具之前,请确认您正运行于一个受支持的操作系统中,并确认使用的平台正确、证书满足要求,并且系统设置满足要求。

请查阅 VMware 知识库文章 2057340 中列出的已知问题。

支持的平台

该工具已在下述 Windows 操作系统中进行了测试。

  • Windows 2008 R2 SP1

  • Windows 2012 Standard

  • Windows 2012 R2

工具和产品版本

不同版本的 vSphere 支持不同版本的证书自动化工具。

  • vSphere 5.1 支持 1.0 版的证书自动化工具

  • vSphere 5.1 Update 1 支持 1.0.1 版的证书自动化工具

  • vSphere 5.5 支持 5.5 版的证书自动化工具

证书要求

可以在运行该工具之前取得 CA 签名的证书,或者可以使用该工具生成证书请求。在运行该工具以更换证书之前,确保证书满足以下要求:

  • 每个 vSphere 组件的 SSL 证书都有一个唯一的基本 DN。

  • 证书和专用密钥满足以下要求:

    • 专用密钥算法:RSA

    • 专用密钥长度 >= 1024

    • 专用密钥标准:PKCS#1 或 PKCS#8

    • 专用密钥存储:PEM

  • 建议的证书签名算法:

    • sha256WithRSAEncryption 1.2.840.113549.1.1.11

    • sha384WithRSAEncryption 1.2.840.113549.1.1.12

    • sha512WithRSAEncryption 1.2.840.113549.1.1.13

    注:

    不建议使用的算法包括 md2WithRSAEncryption 1.2.840.113549.1.1.2、md5WithRSAEncryption 1.2.840.113549.1.1.4 和 sha1WithRSAEncryption 1.2.840.113549.1.1.5。不支持 OID 为 1.2.840.113549.1.1.10 的算法 RSASSA-PSS。

  • 证书链格式满足以下要求:

    • 不包含任何注释的单个 PEM 文件。

    • 该文件以第一个证书的标头开始,即 -----BEGIN CERTIFICATE------

    • 自签名证书按从叶到根的顺序排列。

    • 文件中没有额外的证书。

    • 证书链完整。

  • 证书和密钥的路径或文件名不包含以下任何特殊字符:

    • ^(脱字符)

    • %(百分号)

    • &(& 号)

    • ;(分号)

    • )(右括号)

    如果遇到上述字符,该工具将退出并引发异常,或者报告未找到证书或密钥文件。

系统要求

安装所有 vCenter 组件,获取管理员权限,并关闭从属解决方案,如下所述:

  • 确认已安装并运行需要证书更新的所有 vCenter 组件,并且有权访问每个组件的服务器。

  • 确认在运行工具时所在的一个或多个服务器上具有管理权限。尽管非管理员用户可以关闭和启动该工具,但如果没有正确权限,所有操作都将失败。

  • 关闭环境中运行的以下从属解决方案:

    • VMware Site Recovery Manager

    • vSphere Data Recovery

    • vCloud Director

    • 可能连接 vCenter Server 的任何第三方解决方案