Zertifikate können Sie durch Anmelden bei der Platform Services Controller-Webschnittstelle anzeigen und verwalten. Viele Zertifikatsverwaltungsaufgaben können Sie entweder mit dem Dienstprogramm vSphere Certificate Manager oder mithilfe dieser Webschnittstelle ausführen.

Mit der Platform Services Controller-Webschnittstelle können Sie diese Verwaltungsaufgaben ausführen.

  • Anzeigen der aktuellen Zertifikatspeicher sowie Hinzufügen und Entfernen von Zertifikatspeichereinträgen.

  • Anzeigen der VMware Certificate Authority (VMCA)-Instanz im Zusammenhang mit diesem Platform Services Controller.

  • Anzeigen von durch VMware Certificate Authority generierten Zertifikaten.

  • Verlängern vorhandener Zertifikate oder Ersetzen von Zertifikaten.

Die meisten Abschnitte der Workflows zur Zertifikatsersetzung werden von der Platform Services Controller-Webschnittstelle vollständig unterstützt. Für das Generieren von Zertifikatssignieranforderungen (CSRs) können Sie das Dienstprogramm vSphere Certificate Manage verwenden.

Unterstützte Workflows

Nach dem Installieren eines Platform Services Controller stellt die VMware Certificate Authority auf diesem Knoten allen anderen Knoten in der Umgebung standardmäßig Zertifikate bereit. Zum Verlängern oder Ersetzen von Zertifikaten können Sie einen der folgenden Workflows verwenden.

Zertifikate erneuern

Sie können VMCA ein neues Rootzertifikat generieren lassen und alle Zertifikate in Ihrer Umgebung über die Platform Services Controller-Webschnittstelle verlängern.

VMCA zu einer Zwischenzertifizierungsstelle machen

Sie können eine CSR mit dem Dienstprogramm vSphere Certificate Manager generieren, das Zertifikat der CSR bearbeiten, um VMCA zur Zertifikatskette hinzuzufügen, und anschließend die Zertifikatskette und den privaten Schlüssel zu Ihrer Umgebung hinzufügen. Wenn Sie anschließend alle Zertifikate verlängern, stellt VMCA allen Maschinen und Lösungsbenutzern Zertifikate bereit, die von der vollständigen Zertifikatskette signiert sind.

Zertifikate durch benutzerdefinierte Zertifikate ersetzen

Wenn Sie VMCA nicht verwenden möchten, können Sie CSRs für die zu ersetzenden Zertifikate generieren. Der Zertifizierungsstelle gibt für jede CSR ein Rootzertifikat und ein signiertes Zertifikat zurück. Sie können das Rootzertifikat und die benutzerdefinierten Zertifikate aus dem Platform Services Controller hochladen.

Falls Sie das Rootzertifikat für den VMware Directory Service (vmdir) ersetzen müssen oder falls Unternehmensrichtlinien das Ersetzen des vCenter Single Sign On-Zertifikats in einer Umgebung im gemischten Modus erfordern, können Sie CLI-Befehle zum Ersetzen dieser Zertifikate nach dem Ersetzen der anderen Zertifikate verwenden. Siehe Ersetzen des VMware-Verzeichnisdienstzertifikats und Ersetzen des VMware Directory Service-Zertifikats in Umgebungen im gemischten Modus.