使用 certool CLI 或 vSphere Certificate Manager 实用程序生成新的 VMCA 签名证书,并将证书发布到 vmdir。
在多节点部署中,在 Platform Services Controller 上运行根证书生成命令。
过程
示例: 生成新的 VMCA 签名根证书
以下示例显示了验证当前根 CA 信息和重新生成根证书的所有步骤。
- (可选)列出 VMCA 根证书以确保其位于证书存储中。
- 在 Platform Services Controller 节点或嵌入式安装中:
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
- 在管理节点(外部安装)中:
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>
输入类似于以下内容:output: Certificate: Data: Version: 3 (0x2) Serial Number: cf:2d:ff:49:88:50:e5:af ...
- 在 Platform Services Controller 节点或嵌入式安装中:
- (可选)列出 VECS TRUSTED_ROOTS 库,并将证书序列号与步骤 1 中输出的序列号进行比较。
该命令可在 Platform Services Controller 节点和管理节点上运行,因为 VECS 会轮询 vmdir。
"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS --text
在只有一个根证书的最简单情况下,输出类似于以下内容:Number of entries in store : 1 Alias : 960d43f31eb95211ba3a2487ac840645a02894bd Entry type : Trusted Cert Certificate: Data: Version: 3 (0x2) Serial Number: cf:2d:ff:49:88:50:e5:af
- 生成新的 VMCA 根证书。该命令可将证书添加到 VECS 和 vmdir(VMware Directory Service)中的 TRUSTED_ROOTS 库。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"
在 Windows 中,可以选择 --config,因为该命令使用默认的 certool.cfg 文件。