可以使用 vSphere Certificate Manager 实用程序重新生成 VMCA 根证书,并将本地计算机 SSL 证书和本地解决方案用户证书替换为 VMCA 签名证书。 当多个 vCenter Server 实例以增强型链接模式配置进行连接时,必须替换每个 vCenter Server 上的证书。

将现有计算机 SSL 证书替换为新的 VMCA 签名证书时,vSphere Certificate Manager 会提示您输入信息,并将除 vCenter Server 密码和 IP 地址以外的所有值输入到 certool.cfg 文件。

  • administrator@vsphere.local 的密码
  • 两个字母组成的国家/地区代码
  • 公司名称
  • 组织名称
  • 组织单位
  • 省/市/自治区
  • 地区
  • IP 地址(可选)
  • 电子邮件
  • 主机名,即要替换证书的计算机的完全限定域名。如果主机名与 FQDN 不匹配,则证书替换无法正确完成,且环境可能最终会处于不稳定状态。
  • vCenter Server 的 IP 地址
  • VMCA 名称,即,运行证书配置的计算机的完全限定域名。
注: OU (organizationalUnitName) 字段不再为必填字段。

前提条件

在使用此选项运行 vSphere Certificate Manager 时,您必须了解以下信息。

  • administrator@vsphere.local 的密码。
  • 要为其生成新的 VMCA 签名证书的计算机的 FQDN。所有其他属性默认设置为预定义的值,但可以更改。

过程

  1. 登录到 vCenter Server Shell,然后启动 vSphere Certificate Manager。
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 选择选项 4,重新生成新的 VMCA 根证书并替换所有证书。
  3. 输入管理员用户和密码。
  4. 对提示做出响应。
    vSphere Certificate Manager 根据您的输入生成新的 VMCA 根证书,并替换运行 vSphere Certificate Manager 的系统上的所有证书。 vSphere Certificate Manager 重新启动服务后,替换过程即完成。
  5. 要替换计算机 SSL 证书,请使用选项 3“将计算机 SSL 证书替换为 VMCA 证书”运行 vSphere Certificate Manager。
  6. 要替换解决方案用户证书,请使用选项 6“将解决方案用户证书替换为 VMCA 证书”运行 Certificate Manager。