对于某些特殊的证书替换情况,无法使用 vSphere Certificate Manager 实用程序。可以改用随安装一起提供的 CLI 进行证书替换。 了解服务停止和启动对于手动证书替换的某些部分,必须停止所有服务,然后仅启动管理证书基础架构的服务。如果仅在需要时停止服务,则可以最大程度地缩短停机时间。 将现有 VMCA 签名证书替换为新的 VMCA 签名证书如果 VMCA 根证书在不久的将来会过期或者出于其他原因需要替换该证书,则可以生成新的根证书并将其添加到 VMware Directory Service。然后,可以使用新的根证书生成新的计算机 SSL 证书和解决方案用户证书。 使用 VMCA 作为中间证书颁发结构可以将 VMCA 根证书替换为证书链中包括 VMCA 的第三方 CA 签名证书。从今往后,VMCA 生成的所有证书都将包括完整链。可以将现有证书替换为新生成的证书。 在 vSphere 中使用自定义证书如果公司策略有相关要求,则可以将在 vSphere 中使用的某些或所有证书替换为第三方或企业 CA 签名的证书。如果执行了此操作,则 VMCA 将不在证书链中。您需要将所有 vCenter 证书存储在 VECS 中。 父主题: vSphere 安全证书