可以从 vSphere Client 管理 vCenter Server 证书,也可以使用 API、脚本或 CLI 管理这些证书。

下表介绍了可用于管理 vCenter Server 证书的界面。

表 1. 用于管理 vSphere 证书的界面
接口 描述
vSphere Client Web 界面(基于 HTML5 的客户端)。请参见使用 vSphere Client 管理证书
vSphere Automation API 请参见《VMware vSphere Automation SDK 编程指南》
证书管理实用程序 支持证书签名请求 (CSR) 生成和证书替换的命令行工具。请参见使用 vSphere Certificate Manager 实用程序管理证书
用于管理证书和目录服务的 CLI 用于管理证书、VMware Endpoint 证书存储 (VECS) 和 VMware Directory Service (vmdir) 的一组命令。请参见vSphere 证书和服务 CLI 命令参考

使用 vSphere Client 管理 vCenter Server 证书

您可以从 vSphere Client 管理 vCenter Server 证书。

过程

  1. 在本地 vCenter Single Sign-On 域中,以拥有管理员特权的用户身份登录到 vCenter Server
    默认域为 vsphere.local。
  2. 选择管理
  3. 证书下,单击证书管理
    此时将显示不同类型证书的证书选项卡。
  4. 执行证书任务,例如查看证书详细信息、续订或刷新证书以及添加可信根证书。
    有关详细信息,请参见 使用 vSphere Client 管理证书

使用 CLI 管理 vCenter Server 证书

vCenter Server 包括用于生成证书签名请求 (CSR)、管理证书和管理服务的 CLI。

例如,您可以使用 certool 命令生成 CSR 并替换证书。

使用 CLI 执行 vSphere Client 不支持的管理任务,或者为环境创建自定义脚本。

表 2. 用于管理 vCenter Server 证书和关联服务的 CLI
CLI 描述 链接
certool 生成并管理证书和密钥。VMware Certificate Authority (VMCA) 的一部分。

certool 初始化命令参考

vecs-cli 管理 VMware 证书存储实例的内容。属于 VMware Authentication Framework 守护进程 (VMAFD) vecs-cli 命令参考
dir-cli 在 VMware Directory Service 中创建并更新证书。属于 VMAFD。 dir-cli 命令参考
sso-config 更新安全令牌服务 (STS) 证书。 使用命令行替换 vCenter Server STS 证书
service-control 用于启动、停止和列出服务的命令。 在运行其他 CLI 命令之前,运行此命令以停止服务。

前提条件

启用 SSH,以通过 SSH 登录到 vCenter Server。可以使用 vCenter Server 管理界面中的访问选项卡 (https:// vcenter_server_ip:5480) 激活和停用 SSH 登录。

过程

  1. 登录 vCenter Server shell。
    通常情况下,您必须是 root 或管理员用户。有关详细信息,请参见《 运行 vSphere CLI 所需的特权》。
  2. 在以下默认位置之一访问 CLI。
    所需特权取决于要执行的任务。有时,为了保护敏感信息,系统会提示您输入两次密码。
    /usr/lib/vmware-vmafd/bin/vecs-cli
    /usr/lib/vmware-vmafd/bin/dir-cli
    /usr/lib/vmware-vmca/bin/certool
    /opt/vmware/bin/sso-config.sh

    service-control 命令不要求输入路径。

    有关详细信息,请参见 手动替换 vSphere 证书