vSphere Certificate Manager 实用程序可用于以交互方式从命令行执行大多数证书管理任务。vSphere Certificate Manager 会提示您输入要执行的任务、证书位置以及其他信息(根据需要),然后停止并启动服务,以及为您替换证书。
要了解有关用于替换默认证书的选项的详细信息,请参见替换 vSphere 证书。
注: 如果使用 VMCA 作为中间 CA 或使用自定义证书,复杂性可能会显著提高,安全可能会受到负面影响,并且运营风险可能会不必要地提高。有关管理 vSphere 环境内的证书的更多信息,请参见标题为
New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement 的博客帖子,网址为
http://vmware.com/go/hybridvmca。
如果使用 vSphere Certificate Manager,则无需替换 VECS(VMware Endpoint 证书存储)中的证书,且无需启动和停止服务。
按顺序运行 vSphere Certificate Manager 选项以完成工作流。 一些选项(例如生成 CSR)在不同的工作流中使用。在运行 vSphere Certificate Manager 之前,请确保熟悉替换过程并获取您要使用的证书。
小心: vSphere Certificate Manager 支持一个恢复级别。如果运行两次 vSphere Certificate Manager 并发现环境无意中遭到损坏,则该工具无法恢复前两次运行中的第一次运行。
vSphere Certificate Manager 实用程序位置
vSphere Certificate Manager 实用程序位于:
/usr/lib/vmware-vmca/bin/certificate-manager
注:
运行 vSphere Certificate Manager 时,某些选项会显示以下提示:
Enter proper value for VMCA 'Name':
请输入运行证书配置的计算机的完全限定域名,以响应此提示。
vSphere Certificate Manager 实用程序中的工作流
下表概述了可以使用 vSphere Certificate Manager 实用程序完成的证书替换工作流。
| 工作流 | 描述 | 请参见 |
|---|---|---|
| 将 VMCA 根证书替换为自定义签名证书并替换所有证书 | 要生成 VMCA 根证书并替换所有证书,请使用选项 4“重新生成新的 VMCA 根证书并替换所有证书”。 | 使用 Certificate Manager 重新生成新的 VMCA 根证书并替换所有证书 |
| 使 VMCA 成为中间证书颁发机构 | 要使 VMCA 成为中间 CA,必须多次运行 vSphere Certificate Manager 实用程序并使用多个选项。 此工作流提供了替换计算机 SSL 证书和解决方案用户证书的完整步骤。 | 使用 Certificate Manager 将 VMCA 设为中间证书颁发机构 |
| 将所有证书替换为自定义证书 | 要将所有证书替换为自定义证书,必须多次运行 vSphere Certificate Manager 实用程序并使用多个选项。 此工作流提供了替换计算机 SSL 证书和解决方案用户证书的完整步骤。 | 使用 Certificate Manager 将所有证书替换为自定义证书 |
| 恢复上次执行的操作 | 要恢复上次执行的证书操作并恢复到先前状态,请使用选项 7“通过重新发布旧证书来恢复上次执行的操作”。 | 使用 Certificate Manager 重新发布旧证书以恢复上次执行的操作 |
| 正在重置所有证书 | 要将所有现有 vCenter 证书替换为 VMCA 签名的证书,请使用选项 8“重置所有证书”。 | 使用 Certificate Manager 重置所有证书 |
