可以重新生成 VMCA 根证书,并将本地计算机 SSL 证书和本地解决方案用户证书替换为 VMCA 签名证书。在多节点部署中,可以在 Platform Services Controller 上使用此选项运行 vSphere Certificate Manager,然后在所有其他节点上重新运行该实用程序并选择Replace Machine SSL certificate with VMCA Certificate和 Replace Solution user certificates with VMCA certificates。
将现有计算机 SSL 证书替换为新的 VMCA 签名证书时,vSphere Certificate Manager 会提示您输入信息,并将除 Platform Services Controller密码和 IP 地址以外的所有值输入到 certool.cfg 文件。
- [email protected] 的密码。
- 两个字母组成的国家/地区代码
- 公司名称
- 组织名称
- 组织单位
- 省/市/自治区
- 地区
- IP 地址(可选)
- 电子邮件
- 主机名,即要替换证书的计算机的完全限定域名。如果主机名与 FQDN 不匹配,则证书替换无法正确完成,且环境可能最终会处于不稳定状态。
- Platform Services Controller 的 IP 地址(如果在管理节点上运行该命令)。
- VMCA 名称,即,运行证书配置的计算机的完全限定域名。
前提条件
在使用此选项运行 vSphere Certificate Manager 时,您必须了解以下信息。
过程
- 登录到嵌入式部署或 Platform Services Controller 上的 vCenter Server,然后启动 vSphere Certificate Manager。
操作系统 |
命令 |
Linux |
/usr/lib/vmware-vmca/bin/certificate-manager |
Windows |
C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager.bat |
- 选择选项 4,Regenerate a new VMCA Root Certificate and replace all certificates。
- 对提示做出响应。
Certificate Manager 将基于您输入的内容生成新的 VMCA 根证书并替换运行 Certificate Manager 的系统上的所有证书。如果您使用嵌入式部署,则 Certificate Manager 重新启动服务后,替换过程便完成了。
- 如果您的环境包含外部 Platform Services Controller,您必须在每个 vCenter Server 系统上替换证书。
- 登录到 vCenter Server 系统。
- 停止所有服务,启动处理证书创建、传播和存储的服务。
服务名称在 Windows 和
vCenter Server Appliance 上有所不同。
-
Windows
-
service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
-
vCenter Server Appliance
-
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- 重新启动所有服务。
service-control --start --all
- 要替换计算机 SSL 证书,请使用选项 3 Replace Machine SSL certificate with VMCA Certificate运行 vSphere Certificate Manager。
- 要替换解决方案用户许可证,请使用选项 6 Replace Solution user certificates with VMCA certificates运行Certificate Manager。