Sie können die VMCA-Zertifikate von einer anderen Zertifizierungsstelle signieren lassen, sodass VMCA eine Zwischenzertifizierungsstelle wird. In Zukunft beinhalten alle von VMCA generierten Zertifikate die vollständige Zertifikatskette.

Vorbereitungen

  1. Generieren Sie die Zertifikatsignieranforderung (Certificate Signing Request, CSR).

  2. Bearbeiten Sie das erhaltene Zertifikat und platzieren Sie das aktuelle VMCA-Rootzertifikat im unteren Bereich.

Im Abschnitt Generieren von CSRs mit vSphere Certificate Manager und Vorbereiten des Rootzertifikats (Zwischenzertifizierungsstelle) werden beide Schritte erläutert.

Warum und wann dieser Vorgang ausgeführt wird

Diese Konfiguration können Sie mit dem Dienstprogramm vSphere Certificate Manager, mit der Befehlszeilenschnittstelle (CLI) oder über die Platform Services Controller-Webschnittstelle ausführen.

Prozedur

  1. Stellen Sie über einen Browser eine Verbindung zum Platform Services Controller her, indem Sie folgende URL eingeben:

    https://psc_hostname_or_IP/psc

    In einer eingebetteten Bereitstellung ist der Hostname oder die IP-Adresse von Platform Services Controller identisch mit dem Hostnamen oder der IP-Adresse von vCenter Server.

  2. Geben Sie den Benutzernamen und das Kennwort für „administrator@vsphere.local“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.

    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@meinedomäne an.

  3. Um die vorhandenen Zertifikate durch das verkettete Zertifikat zu ersetzen, befolgen Sie diese Schritte:
    1. Klicken Sie unter „Zertifikate“ auf Zertifizierungsstelle und wählen Sie die Registerkarte Rootzertifikat aus.
    2. Klicken Sie auf Zertifikat ersetzen. Fügen Sie die Datei mit dem privaten Schlüssel und die Zertifikatsdatei (vollständige Zertifikatskette) hinzu und klicken Sie auf OK.
    3. Klicken Sie im Dialogfeld Rootzertifikat ersetzen auf Durchsuchen und wählen Sie den privaten Schlüssel aus. Klicken Sie erneut auf Durchsuchen, wählen Sie das Zertifikat aus und klicken Sie auf OK.

    In Zukunft signiert VMCA alle ausgestellten Zertifikate mit dem neuen verketteten Rootzertifikat.

  4. Verlängern Sie das Maschinen-SSL-Zertifikat für das lokale System.
    1. Klicken Sie unter „Zertifikate“ auf Zertifikatsverwaltung und klicken Sie auf die Registerkarte Maschinenzertifikate.
    2. Wählen Sie das Zertifikat aus, klicken Sie auf Verlängern und beantworten Sie die Eingabeaufforderung mit Ja.

    VMCA ersetzt das Maschinen-SSL-Zertifikat durch das von der neuen Zertifizierungsstelle signierte Zertifikat.

  5. (Optional) : Verlängern Sie die Lösungsbenutzerzertifikate für das lokale System.
    1. Klicken Sie auf die Registerkarte Lösungsbenutzerzertifikate.
    2. Wählen Sie ein Zertifikat aus, klicken Sie auf Verlängern, um einzelne ausgewählte Zertifikate zu verlängern, oder klicken Sie auf Alle verlängern, um alle Zertifikate zu ersetzen, und beantworten Sie die Eingabeaufforderung mit Ja.

    VMCA ersetzt das Lösungsbenutzerzertifikat bzw. alle Lösungsbenutzerzertifikate durch von der neuen Zertifizierungsstelle signierte Zertifikate.

  6. Wenn in Ihrer Umgebung ein externer Platform Services Controller vorhanden ist, können Sie die Zertifikate für jedes vCenter Server-System verlängern.
    1. Klicken Sie im Bereich „Zertifikatsverwaltung“ auf die Schaltfläche Abmelden.
    2. Geben Sie, wenn Sie dazu aufgefordert werden, die IP-Adresse oder den FQDN des vCenter Server-Systems und den Benutzernamen und das Kennwort eines vCenter Server-Administrators an, der sich bei vCenter Single Sign On authentifizieren kann.
    3. Verlängern Sie das Maschinen-SSL-Zertifikat auf dem vCenter Server und optional jedes Lösungsbenutzerzertifikat.
    4. Falls mehrere vCenter Server-Systeme in Ihrer Umgebung vorhanden sind, wiederholen Sie den Vorgang für jedes System.

Nächste Maßnahme

Starten Sie die Dienste auf dem Platform Services Controller neu. Sie können entweder den Platform Services Controller neu starten oder die folgenden Befehle über die Befehlszeile ausführen:

Windows

Unter Windows befindet sich der service-control-Befehl unter VCENTER_INSTALL_PATH\bin.

service-control --stop --all 
service-control --start VMWareAfdService 
service-control --start VMWareDirectoryService 
service-control --start VMWareCertificateService

vCenter Server Appliance

service-control --stop --all
service-control --start vmafdd 
service-control --start vmdird 
service-control --start vmcad