将 VMCA 根证书替换为自定义签名证书并替换所有证书

可以使用 vSphere Certificate Manager 生成 CSR 并将该 CSR 发送到企业或第三方 CA 进行签名。然后，可以将 VMCA 根证书替换为自定义签名证书，并将所有现有证书替换为自定义 CA 签名的证书。

在嵌入式安装或外部 Platform Services Controller 中运行 vSphere Certificate Manager 以将 VMCA 根证书替换为自定义签名证书。

前提条件

生成证书链。
- 可以使用 vSphere Certificate Manager 创建 CSR，或者手动创建 CSR。
- 从第三方或者企业 CA 收到签名证书后，将它与初始 VMCA 根证书组合在一起以创建完整链。
  有关证书要求以及组合证书的过程，请参见使用 vSphere 证书管理器生成 CSR 并准备根证书（中间 CA）。
收集所需的信息。
- [email protected] 的密码。
- Root 的有效自定义证书（.crt 文件）。
- 根的有效自定义密钥（.key 文件）。

在嵌入式安装或外部 Platform Services Controller 上启动 vSphere Certificate Manager，然后选择选项 2。
再次选择选项 2，开始证书替换并根据提示提供信息。
1. 出现提示后指定根证书的完整路径。
2. 如果是首次替换证书，则系统将提示您输入用于计算机 SSL 证书的信息。
  此信息包括计算机所需的 FQDN 并存储在 certool.cfg 文件中。
如果在多节点部署中替换 Platform Services Controller 上的根证书，则针对每个 vCenter Server 节点执行以下步骤。
1. 在 vCenter Server 节点上重新启动服务。
2. 通过使用选项 3 (Replace Machine SSL certificate with VMCA Certificate) 和选项 6 (Replace Solution user certificates with VMCA certificates) 在 vCenter Server 实例上重新生成所有证书。
替换证书时，VMCA 会通过整个链进行签名。

如果从 vSphere 5.x 环境升级，可能必须替换 vmdir 中的 vCenter Single Sign-On 证书。请参见在混合模式环境中替换 VMware Directory Service 证书。