收到自定义证书后,可以替换每个计算机证书。
每台计算机都必须拥有可用于与其他服务进行安全通信的计算机 SSL 证书。在多节点部署中,必须在每个节点上运行计算机 SSL 证书生成命令。使用 --server 参数从具有外部 Platform Services Controller 的 vCenter Server 指向 Platform Services Controller。
必须具有以下信息才能开始替换证书:
- [email protected] 的密码。
- 有效的计算机 SSL 自定义证书(.crt 文件)。
- 有效的计算机 SSL 自定义密钥(.key 文件)。
- Root 的有效自定义证书(.crt 文件)。
- 如果您在多节点部署中具有外部 Platform Services Controller 的 vCenter Server 上运行命令,则需要 Platform Services Controller 的 IP 地址。
前提条件
必须已从第三方或企业 CA 收到每个计算机的证书。
- 密钥大小:2048 位或更大(PEM 编码)
- CRT 格式
- x509 版本 3
- SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
- 包含以下密钥用法:数字签名、密钥加密。
过程
示例: 将计算机 SSL 证书替换为自定义证书
以下示例展示了如何将 Windows 安装上的计算机 SSL 证书替换为自定义证书。可以以同样方法替换每个节点上的计算机 SSL 证书。
- 首先,删除 VECS 中的现有证书。
"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
- 接下来,添加替换证书。
"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv
