可以重新生成 VMCA root 证书,并将本地计算机 SSL 证书和本地解决方案用户证书替换为 VMCA 签名证书。在多节点部署中,可以在 Platform Services Controller 上使用此选项运行 vSphere 证书管理器,然后在所有其他节点上重新运行该实用程序并选择Replace Machine SSL certificate with VMCA Certificate Replace Solution user certificates with VMCA certificates

开始之前

在使用此选项运行 vSphere 证书管理器时,您必须了解以下信息。

  • administrator@vsphere.local 的密码。

  • 要为其生成新的 VMCA 签名证书的计算机的 FQDN。所有其他属性默认设置为预定义的值,但可以更改。

关于此任务

将现有计算机 SSL 证书替换为新的 VMCA 签名证书时,vSphere 证书管理器会提示您输入信息,并将除 Platform Services Controller 密码和 IP 地址以外的所有值输入到 certool.cfg 文件。

  • administrator@vsphere.local 的密码。

  • 两个字母组成的国家/地区代码

  • 公司名称

  • 组织名称

  • 组织单位

  • 状况

  • 局部性

  • IP 地址(可选)

  • 电子邮件

  • 主机名,即要替换证书的计算机的完全限定域名。如果主机名与 FQDN 不匹配,则证书替换无法正确完成,且环境可能最终会处于不稳定状态。

  • Platform Services Controller 的 IP 地址(如果正在管理节点上运行该命令)

过程

  1. 在嵌入式部署或者 Platform Services Controller 上启动 vSphere 证书管理器。
  2. 选择选项 4。
  3. 对提示做出响应。

    证书管理器将基于您输入的内容生成新的 VMCA root 证书并替换运行证书管理器的系统上的所有证书。如果您使用嵌入式部署,则证书管理器重新启动服务后,替换过程便完成了。

  4. 如果您的环境包含外部 Platform Services Controller,您必须在每个 vCenter Server 系统上替换证书。
    1. 登录到 vCenter Server 系统。
    2. 停止所有服务,启动处理证书创建、传播和存储的服务。

      服务名称在 Windows 和 vCenter Server Appliance 上有所不同。

      Windows

      service-control --stop --all
      service-control --start VMWareAfdService
      service-control --start VMWareDirectoryService
      service-control --start VMWareCertificateService
      

      vCenter Server Appliance

      service-control --stop --all
      service-control --start vmafdd
      service-control --start vmdird
      service-control --start vmcad
      
    3. 重新启动所有服务。
      service-control --start --all
      
    4. 要替换计算机 SSL 证书,请使用选项 3 Replace Machine SSL certificate with VMCA Certificate运行 vSphere 证书管理器。
    5. 要替换解决方案用户许可证,请使用选项 6 Replace Solution user certificates with VMCA certificates运行证书管理器。