可以由其他 CA 签名 VMCA 证书,以便 VMCA 成为中间 CA。接下来,VMCA 生成的所有证书都将包括整个链。

可以使用 vSphere Certificate Manager 实用程序、使用 CLI 或从 Platform Services Controller Web 界面执行该设置。

前提条件

  1. 生成 CSR。
  2. 编辑收到的证书,并将当前 VMCA 根证书置于底部。

使用 vSphere 证书管理器生成 CSR 并准备根证书(中间 CA)介绍了这两个步骤。

过程

  1. 从 Web 浏览器连接到 Platform Services Controller,网址为 https://psc_hostname_or_IP/psc
    在嵌入式部署中, Platform Services Controller 主机名或 IP 地址与 vCenter Server 主机名或 IP 地址相同。
  2. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 要将现有证书替换为链式证书,请按照以下步骤操作:
    1. 在“证书”下,单击证书颁发机构,然后选择根证书选项卡。
    2. 单击替换证书
    3. 替换根证书对话框中,单击浏览并选择私钥,再次单击浏览并选择证书,然后单击确定
    接下来,VMCA 使用新的链式根证书对它颁发的所有证书进行签名。
  4. 续订本地系统的计算机 SSL 证书。
    1. 在“证书”下,单击证书管理,然后单击计算机证书选项卡。
    2. 选择证书,单击续订,并在出现提示时回答
    VMCA 将计算机 SSL 证书替换为由新 CA 签名的证书。
  5. (可选) 续订本地系统的解决方案用户证书。
    1. 单击解决方案用户证书选项卡。
    2. 选择证书并单击续订以续订所选的各个证书,或者单击全部续订以替换所有证书并在出现提示时回答
    VMCA 将该解决方案用户证书或所有解决方案用户证书替换为由新 CA 签名的证书。
  6. 如果您的环境包括外部 Platform Services Controller,则可以续订每个 vCenter Server 系统的证书。
    1. 单击“证书管理”面板中的注销按钮。
    2. 出现提示时,指定 vCenter Server 系统的 IP 地址或 FQDN 以及 vCenter Server 管理员的用户名和密码。
      管理员必须能够向 vCenter Single Sign-On 进行身份验证。
    3. 续订 vCenter Server 上的计算机 SSL 证书和(可选)每个解决方案用户证书。
    4. 如果您的环境中包含多个 vCenter Server 系统,则对每个系统重复该过程。

下一步做什么

Platform Services Controller 上重新启动服务。可以重新启动 Platform Services Controller,或者从命令行运行以下命令:

Windows

在 Windows 上,service-control 命令位于 VCENTER_INSTALL_PATH\bin

service-control --stop --all 
service-control --start VMWareAfdService 
service-control --start VMWareDirectoryService 
service-control --start VMWareCertificateService
vCenter Server Appliance 
service-control --stop --all
service-control --start vmafdd 
service-control --start vmdird 
service-control --start vmcad