在具有大量 vCenter Server 主机的部署中替换证书时,可以使用 vSphere Certificate Manager 实用程序进行替换,也可以手动替换证书。一些最佳做法可指导您选择的过程。
在具有多个 vCenter Server 节点的环境中替换计算机 SSL 证书
如果您的环境包含多个 vCenter Server 节点,则可以使用 vSphere Client 或 vSphere Certificate Manager 实用程序替换证书,也可以使用 ESXCLI 命令手动替换证书。
在具有多个处于增强型链接模式的 vCenter Server 系统的环境中替换解决方案用户证书
如果您的环境包含多个处于增强型链接模式的 vCenter Server 系统,请按照以下步骤替换证书。
注: 在大型部署中列出解决方案用户证书时,
dir-cli list 的输出包括所有节点的所有解决方案用户。运行
vmafd-cli get-machine-id --server-name localhost 以查找每个主机的本地计算机 ID。每个解决方案用户名称均包括计算机 ID。
- vSphere Certificate Manager
- 在每台计算机上运行 vSphere Certificate Manager。根据您所执行的任务,也可能提示您输入证书信息。
- 手动证书替换
-
- 生成或请求证书。需要以下证书:
- 每个 vCenter Server 上计算机解决方案用户的证书。
- 每个节点上以下每个解决方案用户的证书:
vpxd
解决方案用户vpxd-extension
解决方案用户vsphere-webclient
解决方案用户wcp
解决方案用户
- 在每个节点上替换证书。确切过程取决于您将执行的证书替换类型。请参见使用 vSphere Certificate Manager 实用程序管理证书。
- 生成或请求证书。需要以下证书:
在包含外部解决方案的环境中替换证书
某些解决方案(如 VMware vCenter Site Recovery Manager 或 VMware vSphere Replication)始终安装在不同于 vCenter Server 系统的计算机上。如果替换 vCenter Server 系统上的默认计算机 SSL 证书,当解决方案尝试连接到 vCenter Server 系统时,会出现连接错误。
您可以通过运行 ls_update_certs 脚本解决此问题。有关详细信息,请参见 VMware 知识库文章,网址为 http://kb.vmware.com/kb/2109074。