可以由其他 CA 签名 VMCA 证书,以便 VMCA 成为中间 CA。接下来,VMCA 生成的所有证书都将包括整个链。

开始之前

  1. 生成 CSR。

  2. 编辑收到的证书,并将当前 VMCA 根证书置于底部。

使用 vSphere 证书管理器生成 CSR 并准备 root 证书(中间 CA)介绍了这两个步骤。

关于此任务

可以使用 vSphere 证书管理器实用程序、使用 CLI 或从 Platform Services Controller Web 界面执行该设置。

过程

  1. 从 Web 浏览器连接到 vSphere Web ClientPlatform Services Controller

    选项

    描述

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    在嵌入式部署中,Platform Services Controller 主机名或 IP 地址与 vCenter Server 主机名或 IP 地址相同。

  2. 为 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。

    如果在安装时指定了不同的域,请以 administrator@mydomain 身份登录。

  3. 要将现有证书替换为链式证书,请按照以下步骤操作:
    1. 在“证书”下,单击证书颁发机构,然后选择根证书选项卡。
    2. 单击替换证书。添加专用密钥文件和证书文件(整个链),然后单击确定
    3. 替换根证书对话框中,单击浏览并选择专用密钥,再次单击浏览并选择证书,然后单击确定

    接下来,VMCA 使用新的链式根证书对它颁发的所有证书进行签名。

  4. 续订本地系统的计算机 SSL 证书。
    1. 在“证书”下,单击证书管理,然后单击计算机证书选项卡。
    2. 选择证书,单击续订,并在出现提示时回答

    VMCA 将计算机 SSL 证书替换为由新 CA 签名的证书。

  5. (可选) : 续订本地系统的解决方案用户证书。
    1. 单击解决方案用户证书选项卡。
    2. 选择证书并单击续订以续订所选的各个证书,或者单击全部续订以替换所有证书并在出现提示时回答

    VMCA 将该解决方案用户证书或所有解决方案用户证书替换为由新 CA 签名的证书。

  6. 如果您的环境包括外部 Platform Services Controller,则可以续订每个 vCenter Server 系统的证书。
    1. 单击“证书管理”面板中的注销按钮。
    2. 出现提示时,指定 vCenter Server 系统的 IP 地址或 FQDN 以及可以向 vCenter Single Sign-On 进行身份验证的 vCenter Server 管理员的用户名和密码。
    3. 续订 vCenter Server 上的计算机 SSL 证书和(可选)每个解决方案用户证书。
    4. 如果您的环境中包含多个 vCenter Server 系统,则对每个系统重复该过程。

下一步做什么

Platform Services Controller 上重新启动服务。可以重新启动 Platform Services Controller,或者从命令行运行以下命令:

Windows

在 Windows 上,service-control 命令位于 VCENTER_INSTALL_PATH\bin

service-control --stop --all 
service-control --start VMWareAfdService 
service-control --start VMWareDirectoryService 
service-control --start VMWareCertificateService

vCenter Server Appliance

service-control --stop --all
service-control --start vmafdd 
service-control --start vmdird 
service-control --start vmcad