Normalerweise werden neue Zertifikate nur dann erstellt, wenn der Hostname geändert oder das Zertifikat versehentlich gelöscht wird. Unter gewissen Umständen müssen Sie den Host zwingen, neue Zertifikate zu erzeugen.

Warum und wann dieser Vorgang ausgeführt wird

Anmerkung:

Um die Vorteile der Zertifikatsüberprüfung voll nutzen zu können, insbesondere, wenn Sie vorhaben, verschlüsselte Remoteverbindungen extern zu verwenden, verwenden Sie kein selbstsigniertes Zertifikat. Installieren Sie stattdessen neue Zertifikate, die von einer gültigen internen Zertifizierungsstelle (CA) signiert wurden, oder erwerben Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle.

Prozedur

  1. Melden Sie sich bei der ESXi Shell als Benutzer mit Administratorrechten an.
  2. Sichern Sie im Verzeichnis /etc/vmware/ssl alle vorhandenen Zertifikate, indem Sie sie mit folgenden Befehlen umbenennen.
    mv rui.crt orig.rui.crt
    mv rui.key orig.rui.key
    Anmerkung:

    Wenn Sie Zertifikate neu generieren, da Sie sie gelöscht haben, ist dieser Schritt nicht erforderlich.

  3. Führen Sie den Befehl /sbin/generate-certificates aus, um neue Zertifikate zu generieren.
  4. Starten Sie den Host neu.

    Durch das Generieren werden die Zertifikate am korrekten Speicherort abgelegt. Alternativ können Sie den Host in den Wartungsmodus versetzen, das neue Zertifikat installieren und anschließend die Verwaltungs-Agenten über die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) neu starten.

  5. Bestätigen Sie, dass der Host neue Zertifikate erfolgreich erstellt hat, indem Sie den folgenden Befehl verwenden und die Zeitstempel der neuen Zertifikatsdateien mit orig.rui.crt und orig.rui.key vergleichen.
    ls -la

Nächste Maßnahme

Sie sollten das selbstsignierte Zertifikat und den selbstsignierten Schlüssel durch ein vertrauenswürdiges Zertifikat und einen vertrauenswürdigen Schlüssel ersetzen.