如果 VMCA 根证书在不久的将来会过期或者出于其他原因需要替换该证书,则可以生成新的根证书并将其添加到 VMware Directory Service。然后,可以使用新的根证书生成新的计算机 SSL 证书和解决方案用户证书。 大多数情况下,可以使用 vSphere 证书管理器实用程序替换证书。 如果需要进行精细控制,则此方案会为使用 CLI 命令替换一组完整的证书提供详细的分步说明。但是,也可以使用对应的任务中的步骤仅单独替换各个证书。 前提条件 仅有 [email protected] 或 CAAdmins 组中的其他用户可以执行证书管理任务。请参见向 vCenter Single Sign-On 组添加成员。 步骤 生成新的 VMCA 签名根证书 使用 certool CLI 或 vSphere Certificate Manager 实用程序生成新的 VMCA 签名证书,并将证书发布到 vmdir。 将计算机 SSL 证书替换为 VMCA 签名证书 在生成新的 VMCA 签名根证书后,可以替换您环境中的所有计算机 SSL 证书。 将解决方案用户证书替换为新的 VMCA 签名证书替换完计算机 SSL 证书后,可以替换所有解决方案用户证书。解决方案用户证书必须有效(即,不能过期),但证书中的其他所有信息可供证书基础架构使用。 在混合模式环境中替换 VMware Directory Service 证书 在升级过程中,您的环境可能暂时包括 vCenter Single Sign-On 版本 5.5 和 vCenter Single Sign-On 版本 6.x。在此情况下,如果替换正在运行 vCenter Single Sign-On 服务的节点的 SSL 证书,则必须执行其他步骤才能替换 VMware Directory Service SSL 证书。 父主题: 手动证书替换