可以根据 Certificate Manager 实用程序的提示,将 VMCA 设为中间 CA。完成此过程后,VMCA 会对整个链中的所有证书进行签名。如果需要,可以使用 Certificate Manager 将所有现有证书替换为 VMCA 签名的新证书。
VMware 不建议将 VMCA 作为辅助(或中间)证书颁发机构。如果选择此选项,您可能会面临极度复杂的情况并且可能对安全产生负面影响,以及增加不必要的操作风险。有关管理 vSphere 环境内的证书的详细信息,请参见标题为“New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement”的博客帖子,网址为 http://vmware.com/go/hybridvmca。
要将 VMCA 作为中间 CA,您必须多次运行Certificate Manager。该工作流提供了替换计算机 SSL 证书的完整步骤。
- 要生成 CSR,请选择选项 1“将计算机 SSL 证书替换为自定义证书”,然后再次选择选项 1。
您将从 CA 收到签名证书和根证书。
- 将 VMCA 根证书与 CA 根证书合并,然后保存文件。
- 选择选项 2“将 VMCA 根证书替换为自定义签名证书并替换所有证书”。此过程会替换本地计算机上的所有证书。