vSphere Certificate Manager 实用程序可用于以交互方式从命令行执行大多数证书管理任务。vSphere Certificate Manager 会提示您输入要执行的任务、证书位置以及其他信息(根据需要),然后停止并启动服务,以及为您替换证书。

要了解有关用于替换默认证书的选项的详细信息,请参见替换 vSphere 证书

注: 如果使用 VMCA 作为中间 CA 或使用自定义证书,复杂性可能会显著提高,安全可能会受到负面影响,并且运营风险可能会不必要地提高。有关管理 vSphere 环境内的证书的更多信息,请参见标题为 New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement 的博客帖子,网址为 http://vmware.com/go/hybridvmca

如果使用 vSphere Certificate Manager,则无需替换 VECS(VMware Endpoint 证书存储)中的证书,且无需启动和停止服务。

按顺序运行 vSphere Certificate Manager 选项以完成工作流。 一些选项(例如生成 CSR)在不同的工作流中使用。在运行 vSphere Certificate Manager 之前,请确保熟悉替换过程并获取您要使用的证书。

小心: vSphere Certificate Manager 支持一个恢复级别。如果运行两次 vSphere Certificate Manager 并发现环境无意中遭到损坏,则该工具无法恢复前两次运行中的第一次运行。

vSphere Certificate Manager 实用程序位置

vSphere Certificate Manager 实用程序位于:

/usr/lib/vmware-vmca/bin/certificate-manager
注:

运行 vSphere Certificate Manager 时,某些选项会显示以下提示:

Enter proper value for VMCA 'Name':

请输入运行证书配置的计算机的完全限定域名,以响应此提示。

vSphere Certificate Manager 实用程序中的工作流

下表概述了可以使用 vSphere Certificate Manager 实用程序完成的证书替换工作流。

表 1. vSphere 证书管理实用程序中的工作流
工作流 描述 请参见
将 VMCA 根证书替换为自定义签名证书并替换所有证书 要生成 VMCA 根证书并替换所有证书,请使用选项 4“重新生成新的 VMCA 根证书并替换所有证书”。 使用 Certificate Manager 重新生成新的 VMCA 根证书并替换所有证书
使 VMCA 成为中间证书颁发机构 要使 VMCA 成为中间 CA,必须多次运行 vSphere Certificate Manager 实用程序并使用多个选项。 此工作流提供了替换计算机 SSL 证书和解决方案用户证书的完整步骤。 使用 Certificate Manager 将 VMCA 设为中间证书颁发机构
将所有证书替换为自定义证书 要将所有证书替换为自定义证书,必须多次运行 vSphere Certificate Manager 实用程序并使用多个选项。 此工作流提供了替换计算机 SSL 证书和解决方案用户证书的完整步骤。 使用 Certificate Manager 将所有证书替换为自定义证书
恢复上次执行的操作 要恢复上次执行的证书操作并恢复到先前状态,请使用选项 7“通过重新发布旧证书来恢复上次执行的操作”。 使用 Certificate Manager 重新发布旧证书以恢复上次执行的操作
正在重置所有证书 要将所有现有 vCenter 证书替换为 VMCA 签名的证书,请使用选项 8“重置所有证书”。 使用 Certificate Manager 重置所有证书