可以使用 vSphere Client 来查看和管理证书。也可以使用 vSphere Certificate Manager 实用程序执行许多证书管理任务。

使用 vSphere Client 可执行以下管理任务。
  • 查看受信任的根证书和 SSL 证书。
  • 续订现有证书或替换证书。
  • 为计算机 SSL 证书生成自定义证书签名请求 (CSR) 并在证书颁发机构返回 CSR 时替换证书。

大多数证书替换工作流在 vSphere Client 中完全受支持。要为计算机 SSL 证书生成 CSR,您可以使用 vSphere Client 或证书管理实用程序。

支持的工作流

安装 Platform Services Controller 后,默认情况下该节点上的 VMware Certificate Authority 为环境中的所有其他节点置备证书。有关管理证书的当前建议的建议,请参见vSphere 安全证书

可以使用以下工作流之一续订或替换证书。
续订证书
可以让 VMCA 从 vSphere Client 续订环境中的 SSL 证书和解决方案用户证书。
使 VMCA 成为中间 CA
可以使用 vSphere Certificate Manager 实用程序生成 CSR。然后,可以编辑从 CSR 接收的证书以将 VMCA 添加到链中,然后向环境添加证书链和专用密钥。之后续订所有证书时,VMCA 将为所有计算机和解决方案用户置备已对整个链签名的证书。
将证书替换为自定义证书
如果不希望使用 VMCA,可以为要替换的证书生成 CSR。CA 将为每个 CSR 返回根证书和签名证书。可以从 Platform Services Controller 上载根证书和自定义证书。
注: 如果使用 VMCA 作为中间 CA 或使用自定义证书,复杂性可能会显著提高,安全可能会受到负面影响,运营风险可能会不必要地提高。有关管理 vSphere 环境内的证书的更多信息,请参见标题为 New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement 的博客帖子,网址为 http://vmware.com/go/hybridvmca

在混合模式环境中,您可以使用 CLI 命令在替换其他证书后替换 vCenter Single Sign-On 证书。请参见在混合模式环境中替换 VMware Directory Service 证书