在具有大量 vCenter Server 主机的部署中替换证书时,可以使用 vSphere Certificate Manager 实用程序进行替换,也可以手动替换证书。一些最佳做法可指导您选择的过程。

在具有多个 vCenter Server 节点的环境中替换计算机 SSL 证书

如果您的环境包含多个 vCenter Server 节点,则可以使用 vSphere Client 或 vSphere Certificate Manager 实用程序替换证书,也可以使用 ESXCLI 命令手动替换证书。

vSphere Certificate Manager
在每台计算机上运行 vSphere Certificate Manager。根据您所执行的任务,也可能提示您输入证书信息。
手动证书替换
对于手动证书替换,可以在每台计算机上运行证书替换命令。有关详细信息,请参见以下主题:

在具有多个处于增强型链接模式的 vCenter Server 系统的环境中替换解决方案用户证书

如果您的环境包含多个处于增强型链接模式的 vCenter Server 系统,请按照以下步骤替换证书。

注: 在大型部署中列出解决方案用户证书时, dir-cli list 的输出包括所有节点的所有解决方案用户。运行 vmafd-cli get-machine-id --server-name localhost 以查找每个主机的本地计算机 ID。每个解决方案用户名称均包括计算机 ID。
vSphere Certificate Manager
在每台计算机上运行 vSphere Certificate Manager。根据您所执行的任务,也可能提示您输入证书信息。
手动证书替换
  1. 生成或请求证书。需要以下证书:
    • 每个 vCenter Server 上计算机解决方案用户的证书。
    • 每个节点上以下每个解决方案用户的证书:
      • vpxd 解决方案用户
      • vpxd-extension 解决方案用户
      • vsphere-webclient 解决方案用户
      • wcp 解决方案用户
  2. 在每个节点上替换证书。确切过程取决于您将执行的证书替换类型。请参见使用 vSphere Certificate Manager 实用程序管理证书
有关详细信息,请参见以下主题:

在包含外部解决方案的环境中替换证书

某些解决方案(如 VMware vCenter Site Recovery Manager 或 VMware vSphere Replication)始终安装在不同于 vCenter Server 系统的计算机上。如果替换 vCenter Server 系统上的默认计算机 SSL 证书,当解决方案尝试连接到 vCenter Server 系统时,会出现连接错误。

您可以通过运行 ls_update_certs 脚本解决此问题。有关详细信息,请参见 VMware 知识库文章,网址为 http://kb.vmware.com/kb/2109074