许多公司仅要求替换可从外部进行访问的服务的证书。但是,Certificate Manager 也支持替换解决方案用户证书。解决方案用户是服务的集合,例如,与 vSphere Web Client 关联的所有服务。在多节点部署中,替换 Platform Services Controller 上的计算机解决方案用户证书,以及每个管理节点上的整组解决方案用户。

当提示您输入解决方案用户证书时,请提供第三方 CA 的完整签名证书链。

格式应类似于以下内容。 
-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

前提条件

开始之前,您需要为环境中的每个计算机生成一个 CSR。您可以使用 vSphere Certificate Manager 生成 CSR 或明确生成 CSR。
  1. 要使用 vSphere Certificate Manager 生成 CSR,请参见使用 vSphere 证书管理器生成证书签名请求(自定义证书)
  2. 从第三方或企业 CA 为每个节点上的每个解决方案用户请求一个证书。您可以使用 vSphere Certificate Manager 生成 CSR 或自己准备 CSR。CSR 必须满足以下要求:
    • 密钥大小:2048 位或更大(PEM 编码)
    • CRT 格式
    • x509 版本 3
    • SubjectAltName 必须包含 DNS Name=<machine_FQDN>。

    • 每个解决方案用户证书必须具有不同的 Subject。例如,考虑包含解决方案用户名(如 vpxd)或其他唯一标识符。

    • 包含以下密钥用法:数字签名、密钥加密。

另请参见 VMware 知识库文章 2112014,从 Microsoft 证书颁发机构获取 vSphere 证书

过程

  1. 启动 vSphere Certificate Manager 并选择选项 5。
  2. 选择选项 2 开始证书替换并根据提示提供信息。
    vSphere Certificate Manager 提示您输入以下信息:
    • [email protected] 的密码。
    • 计算机解决方案用户的证书和密钥。
    • 如果在 Platform Services Controller 节点上运行 vSphere Certificate Manager,则会提示您输入计算机解决方案用户的证书和密钥 (vpxd.crtvpxd.key)。
    • 如果在管理节点或嵌入式部署上运行 vSphere Certificate Manager,则会提示您输入所有解决方案用户的整组证书和密钥(vpxd.crtvpxd.key)。

下一步做什么

如果从 vSphere 5.x 环境升级,可能必须替换 vmdir 中的 vCenter Single Sign-On 证书。请参见在混合模式环境中替换 VMware Directory Service 证书