通常,只有当更改主机名称或意外删除证书时,才要生成新证书。在某些情况下,必须强制主机生成新的证书。

关于此任务

注:

要领略证书检查功能的全部好处,尤其是要在外部使用加密远程连接时,请勿使用自签名证书。而是安装由有效的内部证书颁发机构签名的新证书,或者从受信任的安全颁发机构购买证书。

过程

  1. 以具有管理员特权的用户身份登录到 ESXi Shell
  2. /etc/vmware/ssl 目录中,备份现有证书,方法是使用以下命令对其进行重命名。
    mv rui.crt orig.rui.crt
    mv rui.key orig.rui.key
    注:

    如果由于删除了证书而需要重新生成这些证书,则不必执行此步骤。

  3. 运行命令 /sbin/generate-certificates 生成新的证书。
  4. 重新启动主机。

    生成证书时,会将这些证书放在正确的位置。您也可以选择将主机置于维护模式,安装新证书,然后使用直接控制台用户界面 (DCUI) 重新启动管理代理。

  5. 通过执行以下命令并将新证书文件的时间戳与 orig.rui.crtorig.rui.key 进行比较,来确认主机是否已成功生成新证书。
    ls -la

下一步做什么

考虑将自签名证书和密钥替换为受信任的证书和密钥。