许多公司仅要求替换可从外部进行访问的服务的证书。但是,Certificate Manager 也支持替换解决方案用户证书。解决方案用户是服务的集合,例如,与 vSphere Client 关联的所有服务。

当提示您输入解决方案用户证书时,请提供第三方 CA 的完整签名证书链。

格式看起去与下面类似。 
-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

前提条件

开始之前,您需要为环境中的每个计算机生成一个 CSR。您可以使用 vSphere Certificate Manager 生成 CSR 或明确生成 CSR。

  1. 要使用 vSphere Certificate Manager 生成 CSR,请参见使用 vSphere Certificate Manager 生成证书签名请求(自定义证书)
  2. 从第三方或企业 CA 为每个节点上的每个解决方案用户请求一个证书。您可以使用 vSphere Certificate Manager 生成 CSR 或自己准备 CSR。CSR 必须满足以下要求:
    • 密钥大小:2048 位(最小值)到 16384 位(最大值)(PEM 编码)
    • CRT 格式
    • x509 版本 3
    • SubjectAltName 必须包含 DNS Name=<machine_FQDN>。

    • 每个解决方案用户证书必须具有不同的 Subject。例如,考虑包含解决方案用户名(如 vpxd)或其他唯一标识符。

    • 包含以下密钥用法:数字签名、密钥加密。

请参见位于 http://kb.vmware.com/kb/2112014 的 VMware 知识库文章,了解如何从 Microsoft 证书颁发机构获取 vSphere 证书。

过程

  1. 启动 vSphere Certificate Manager 并选择选项 5。
  2. 选择选项 2 开始证书替换并根据提示提供信息。
    vSphere Certificate Manager 提示您输入以下信息:
    • [email protected] 的密码
    • 计算机解决方案用户的证书和密钥
    • 计算机解决方案用户的证书和密钥(vpxd.crtvpxd.key
    • 所有解决方案用户的全套证书和密钥(vpxd.crtvpxd.key