可以使用 vSphere Client 来查看和管理证书。也可以使用 vSphere Certificate Manager 实用程序执行许多证书管理任务。

使用 vSphere Client 可执行以下管理任务。
  • 查看计算机 SSL 证书、受信任根证书和 Security Token Service (STS) 证书。
  • 添加新的受信任根证书,并续订或替换现有的计算机 SSL 和 STS 证书。
  • 为计算机 SSL 证书生成自定义证书签名请求 (CSR) 并在证书颁发机构返回 CSR 时替换证书。

大多数证书替换工作流在 vSphere Client 中完全受支持。要为计算机 SSL 证书生成 CSR,您可以使用 vSphere Client 或证书管理实用程序。

支持的工作流

安装 vCenter Server 后,默认情况下该节点上的 VMware Certificate Authority 为环境中的所有其他节点置备证书。有关管理证书的当前建议,请参见vSphere 安全证书

可以使用以下工作流之一续订或替换证书。
续订证书
可以让 VMCA 从 vSphere Client 续订环境中的计算机 SSL 证书、解决方案用户证书和 STS 证书。
使 VMCA 成为中间 CA
可以使用 vSphere Certificate Manager 实用程序生成 CSR。然后,可以编辑从 CSR 接收的证书以将 VMCA 添加到链中,然后向环境添加证书链和私钥。之后续订所有证书时,VMCA 将为所有计算机和解决方案用户置备已对整个链签名的证书。
将证书替换为自定义证书
如果不希望使用 VMCA,可以为要替换的证书生成 CSR。CA 将为每个 CSR 返回根证书和签名证书。可以从 vCenter Server 上载根证书和自定义证书。
注: 如果使用 VMCA 作为中间 CA 或使用自定义证书,复杂性可能会显著提高,安全可能会受到负面影响,并且运营风险可能会不必要地提高。有关管理 vSphere 环境内的证书的更多信息,请参见标题为 New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement 的博客帖子,网址为 http://vmware.com/go/hybridvmca