在将 VMCA 用作中间 CA 的多节点部署中,必须明确替换计算机 SSL 证书。首先替换 Platform Services Controller 节点上的 VMCA 根证书,然后将 vCenter Server 节点上的证书替换为由整个链签名的证书。您也可以使用此选项替换已损坏或即将过期的计算机 SSL 证书。

将现有计算机 SSL 证书替换为新的 VMCA 签名证书时,vSphere 证书管理器会提示您输入信息,并将除 Platform Services Controller 密码和 IP 地址以外的所有值输入到 certool.cfg 文件。

  • [email protected] 的密码。
  • 两个字母组成的国家/地区代码
  • 公司名称
  • 组织名称
  • 组织单位
  • 省/市/自治区
  • 地区
  • IP 地址(可选)
  • 电子邮件
  • 主机名,即要替换证书的计算机的完全限定域名。如果主机名与 FQDN 不匹配,则证书替换无法正确完成,且环境可能最终会处于不稳定状态。
  • Platform Services Controller 的 IP 地址(如果在管理节点上运行该命令)。
  • VMCA 名称,即,运行证书配置的计算机的完全限定域名。

前提条件

  • 如果替换了多节点部署中的 VMCA 根证书,请明确重新启动所有 vCenter Server 节点。
  • 您必须了解以下信息才能使用此选项运行证书管理器。
    • [email protected] 的密码。
    • 要为其生成新的 VMCA 签名证书的计算机的 FQDN。所有其他属性默认设置为预定义的值,但可以更改。
    • 如果运行的是具有外部 Platform Services ControllervCenter Server 系统,则必须了解 Platform Services Controller 的主机名或 IP 地址。

过程

  1. 启动 vSphere 证书管理器并选择选项 3。
  2. 对提示做出响应。
    证书管理器将信息存储在 certool.cfg 文件中。

结果

vSphere 证书管理器替换计算机 SSL 证书。