Neue VMCA-signierte Zertifikate erstellen Sie mit der certool-Befehlszeilenschnittstelle (CLI) und veröffentlichen sie in vmdir.

Warum und wann dieser Vorgang ausgeführt wird

Bei einer Bereitstellung mit mehreren Knoten führen Sie Befehle zum Generieren von Stammzertifikaten im Platform Services Controller aus.

Prozedur

  1. Generieren Sie ein neues selbstsigniertes Zertifikat und einen privaten Schlüssel.
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. Ersetzen sie das vorhandene Stammzertifikat durch das neue Zertifikat.
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>

    Mit diesem Befehl wird das Zertifikat generiert und zu vmdir sowie zu VECS hinzugefügt.

  3. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.

    Die Dienstnamen sind unter Windows und bei der vCenter Server Appliance unterschiedlich.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. (Optional) : Veröffentlichen Sie das neue Stammzertifikat in vmdir.
    dir-cli trustedcert publish --cert newRoot.crt
    

    Wenn Sie diesen Befehl ausführen, werden alle vmdir-Instanzen sofort aktualisiert. Andernfalls kann die Weitergabe an alle Instanzen eine Weile dauern.

  5. Starten Sie alle Dienste neu.
    service-control --start --all
    

Generieren eines neuen VMCA-signierten Stammzertifikats

Das folgende Beispiel veranschaulicht alle Schritte, um die Informationen zur aktuellen Stammzertifizierungsstelle zu überprüfen und das Stammzertifikat neu zu generieren.

  1. (Optional) Listen Sie das VMCA-Stammzertifikat auf, um sicherzustellen, dass es sich im Zertifikatspeicher befindet.

    • In einem Platform Services Controller-Knoten oder einer eingebetteten Installation:

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
    • In einem Verwaltungsknoten (externe Installation):

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>

    Die Ausgabe sieht so oder ähnlich aus:

    output:
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af
        ...
    

  2. (Optional) Listen Sie den VECS TRUSTED_ROOTS-Speicher auf und vergleichen Sie die Seriennummer des Zertifikats mit der Ausgabe aus Schritt 1.

    Dieser Befehl kann sowohl für Platform Services Controller als auch für Verwaltungsknoten verwendet werden, da VECS eine Abfrage für vmdir ausführt.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
    

    Im einfachsten Fall mit nur einem Stammzertifikat sieht die Ausgabe wie folgt aus:

    Number of entries in store :    1
    Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
    Entry type :    Trusted Cert
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af

  3. Generieren Sie ein neues VMCA-Stammzertifikat. Das Zertifikat wird zum TRUSTED_ROOTS-Speicher in VECS und im VMware-Verzeichnisdienst (vmdir) hinzugefügt.

    C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"

    Unter Windows ist --config optional, da der Befehl die Standarddatei certool.cfg verwendet.