许多公司仅要求替换可从外部进行访问的服务的证书。但是,证书管理器也支持替换解决方案用户证书。解决方案用户是服务的集合,例如,与 vSphere Web Client 关联的所有服务。在多节点部署中,替换 Platform Services Controller 上的计算机解决方案用户证书,以及每个管理节点上的整组解决方案用户。

关于此任务

当提示您输入解决方案用户证书时,请提供第三方 CA 的完整签名证书链。

格式应类似于以下内容。

-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

先决条件

开始之前,您需要为环境中的每个计算机生成一个 CSR。您可以使用 vSphere 证书管理器生成 CSR 或明确生成 CSR。

  1. 要使用 vSphere 证书管理器生成 CSR,请参见使用 vSphere 证书管理器生成证书签名请求(自定义证书)

  2. 从第三方或企业 CA 为每个节点上的每个解决方案用户请求一个证书。您可以使用 vSphere 证书管理器生成 CSR 或自己准备 CSR。CSR 必须满足以下要求:

    • 密钥大小:2048 位或更大(PEM 编码)

    • CRT 格式

    • x509 版本 3

    • SubjectAltName 必须包含 DNS Name=<machine_FQDN>

    • 每个解决方案用户证书必须具有不同的 Subject。例如,考虑包含解决方案用户名(如 vpxd)或其他唯一标识符。

    • 包含以下密钥使用:数字签名、不可否认性、密钥加密

另请参见 VMware 知识库文章 2112014,从 Microsoft 证书颁发机构获取 vSphere 证书

过程

  1. 启动 vSphere 证书管理器并选择选项 5。
  2. 选择选项 2 开始证书替换并根据提示提供信息。

    vSphere 证书管理器提示您输入以下信息:

    • administrator@vsphere.local 的密码。

    • 计算机解决方案用户的证书和密钥。

    • 如果在 Platform Services Controller 节点上运行 vSphere 证书管理器,则会提示您输入计算机解决方案用户的证书和密钥 (vpxd.crtvpxd.key)。

    • 如果在管理节点或嵌入式部署上运行 vSphere 证书管理器,则会提示您输入所有解决方案用户的整组证书和密钥(vpxd.crtvpxd.key)。

下一步做什么

如果从 vSphere 5.x 环境升级,可能必须替换 vmdir 中的 vCenter Single Sign-On 证书。请参见在混合模式环境中替换 VMware Directory Service 证书