在具有大量 vCenter Server 主机的部署中替换证书时,可以使用 vSphere Certificate Manager 实用程序进行替换,也可以使用 CLI 手动替换证书。一些最佳做法可指导您选择的过程。

在具有多个 vCenter Server 系统的环境中替换计算机 SSL 证书

如果您的环境包含多个 vCenter Server 系统,则可以使用 vSphere Client 或 vSphere Certificate Manager 实用程序替换计算机 SSL 证书,也可以使用 CLI 命令手动替换证书。

使用 vSphere Certificate Manager 替换多个 vCenter Server 系统上的计算机 SSL 证书
在每台计算机上运行 vSphere Certificate Manager。根据您所执行的任务,也可能提示您输入证书信息。有关详细信息,请参见以下主题:
使用 CLI 手动替换多个 vCenter Server 系统上的计算机 SSL 证书
要手动替换证书,请在每台计算机上运行证书替换 CLI 命令。有关详细信息,请参见以下主题:

在具有多个处于增强型链接模式的 vCenter Server 系统的环境中替换解决方案用户证书

如果您的环境包含多个处于增强型链接模式的 vCenter Server 系统,请按照以下步骤替换解决方案用户证书。

注: 在大型部署中列出解决方案用户证书时, /usr/lib/vmware-vmafd/bin/dir-cli list 的输出包括所有节点的所有解决方案用户。运行 /usr/lib/vmware-vmafd/bin/vmafd-cli get-machine-id --server-name localhost 以查找每个主机的本地计算机 ID。每个解决方案用户名称均包括计算机 ID。
使用 vSphere Certificate Manager 替换 ELM 中 vCenter Server 系统上的计算机 SSL 证书
在每台计算机上运行 vSphere Certificate Manager。根据您所执行的任务,也可能提示您输入证书信息。请参见 使用 vSphere Certificate Manager 实用程序管理证书
使用 CLI 手动替换 ELM 中 vCenter Server 系统上的计算机 SSL 证书

在 ELM 中的 vCenter Server 上手动替换计算机 SSL 证书的简要步骤包括:

  1. 生成或请求证书。

    需要以下证书:

    • 每个 vCenter Server 上计算机解决方案用户的证书。
    • 每个节点上以下每个解决方案用户的证书:
      • vpxd 解决方案用户
      • vpxd-extension 解决方案用户
      • vsphere-webclient 解决方案用户
      • wcp 解决方案用户
  2. 使用 CLI 命令替换每个节点上的证书。

    确切过程取决于您将执行的证书替换类型。有关详细信息,请参见以下主题:

在包含外部解决方案的 VMware 环境中替换证书

某些解决方案(如 VMware vCenter Site Recovery Manager 或 VMware vSphere Replication)始终安装在不同于 vCenter Server 系统的计算机上。如果替换 vCenter Server 系统上的默认计算机 SSL 证书,当解决方案尝试连接到 vCenter Server 系统时,会出现连接错误。

您可以通过运行 ls_update_certs 脚本解决此问题。请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/2109074