包括多个管理节点以及一个或多个 Platform Services Controller 节点的部署中的证书替换类似于嵌入式部署中的替换。在这两种情况下,均可使用 vSphere 证书管理实用程序或手动替换证书。某些最佳做法可指导该替换过程。

在包含负载平衡器的 High Availability 环境中替换证书

在少于 8 个 vCenter Server 系统的环境中,VMware 通常建议使用单个 Platform Services Controller 实例和关联的 vCenter Single Sign-On 服务。在较大环境中,可考虑使用受网络负载平衡器保护的多个 Platform Services Controller 实例。VMware 网站上的白皮书《vCenter Server 6.0 部署指南》介绍了此设置。

具有多个管理节点的环境中的计算机 SSL 证书替换

如果您的环境中包括多个管理节点和一个 Platform Services Controller,可以使用 vSphere 证书管理器实用程序替换证书或使用 vSphere CLI 命令手动替换证书。

vSphere 证书管理器
在每台计算机上运行 vSphere 证书管理器。在管理节点上,按提示输入的 Platform Services Controller 的 IP 地址。根据您所执行的任务,也可能提示您输入证书信息。
手动证书替换
对于手动证书替换,可以在每台计算机上运行证书替换命令。在管理节点上,必须使用 --server 参数指定 Platform Services Controller。有关详细信息,请参见以下主题:

在大型部署中,在证书替换后首先重新启动 Platform Services Controller,然后是所有管理节点。

具有多个管理节点的环境中的解决方案用户证书替换

如果您的环境中包括多个管理节点和一个 Platform Services Controller,请遵循以下步骤进行证书替换。

注: 在大型部署中列出解决方案用户证书时, dir-cli list 的输出包括所有节点的所有解决方案用户。运行 vmafd-cli get-machine-id --server-name localhost 以查找每个主机的本地计算机 ID。每个解决方案用户名称均包括计算机 ID。
vSphere 证书管理器
在每台计算机上运行 vSphere 证书管理器。在管理节点上,按提示输入的 Platform Services Controller 的 IP 地址。根据您所执行的任务,也可能提示您输入证书信息。
手动证书替换
  1. 生成或请求证书。需要以下证书:
    • Platform Services Controller 上 machine 解决方案用户的证书。
    • 每个管理节点上 machine 解决方案用户的证书。
    • 每个管理节点上以下每个解决方案用户的证书:
      • vpxd solution用户
      • vpxd-extension 解决方案用户
      • vsphere-webclient 解决方案用户
  2. 在每个节点上替换证书。确切过程取决于您将执行的证书替换类型。请参见使用 vSphere 证书管理器实用程序管理证书
有关详细信息,请参见以下主题:

在大型部署中,在证书替换后首先重新启动 Platform Services Controller,然后是所有管理节点。

在包含外部解决方案的环境中替换证书

有些解决方案(如 VMware vCenter Site Recovery Manager 或 VMware vSphere Replication)始终与 vCenter Server 系统或 Platform Services Controller 安装在不同的计算机上。如果替换 vCenter Server 系统或 Platform Services Controller 上的默认计算机 SSL 证书,当解决方案尝试连接到 vCenter Server 系统时,会出现连接错误。

您可以通过运行 ls_update_certs 脚本解决此问题。有关详细信息,请参见 VMware 知识库文章 2109074