在将 VMCA 用作中间 CA 的多节点部署中,必须明确替换计算机 SSL 证书。首先替换 Platform Services Controller 节点上的 VMCA 根证书,然后将 vCenter Server 节点上的证书替换为由整个链签名的证书。您也可以使用此选项替换已损坏或即将过期的计算机 SSL 证书。

开始之前

  • 如果替换了多节点部署中的 VMCA 根证书,请明确重新启动所有 vCenter Server 节点。

  • 您必须了解以下信息才能使用此选项运行证书管理器。

    • administrator@vsphere.local 的密码。

    • 要为其生成新的 VMCA 签名证书的计算机的 FQDN。所有其他属性默认设置为预定义的值,但可以更改。

    • 如果运行的是具有外部 Platform Services ControllervCenter Server 系统,则必须了解 Platform Services Controller 的主机名或 IP 地址。

关于此任务

将现有计算机 SSL 证书替换为新的 VMCA 签名证书时,vSphere 证书管理器会提示您输入信息,并将除 Platform Services Controller 密码和 IP 地址以外的所有值输入到 certool.cfg 文件。

  • administrator@vsphere.local 的密码。

  • 两个字母组成的国家/地区代码

  • 公司名称

  • 组织名称

  • 组织单位

  • 状况

  • 局部性

  • IP 地址(可选)

  • 电子邮件

  • 主机名,即要替换证书的计算机的完全限定域名。如果主机名与 FQDN 不匹配,则证书替换无法正确完成,且环境可能最终会处于不稳定状态。

  • Platform Services Controller 的 IP 地址(如果正在管理节点上运行该命令)

过程

  1. 启动 vSphere 证书管理器并选择选项 3。
  2. 对提示做出响应。

    证书管理器将信息存储在 certool.cfg 文件中。

结果

vSphere 证书管理器替换计算机 SSL 证书。