Die Zertifikatersetzung bei Bereitstellungen, die mehrere Verwaltungsknoten und einen oder mehrere Platform Services Controller-Knoten enthalten, ist mit der Zertifikatersetzung bei eingebetteten Bereitstellungen vergleichbar. In beiden Fällen können Sie das Dienstprogramm vSphere Certificate Management verwenden oder die Zertifikate manuell ersetzen. Für die Zertifikatsersetzung gelten bestimmte Best Practices.

Zertifikatsersetzung in High Availability-Umgebungen mit Lastausgleichsdienst

In Umgebungen mit weniger als acht vCenter Server-Systemen empfiehlt VMware in der Regel eine einzige Platform Services Controller-Instanz und den zugehörigen vCenter Single Sign On-Dienst. In größeren Umgebungen können Sie mehrere durch einen Netzwerk-Lastausgleichsdienst geschützte Platform Services Controller-Instanzen verwenden. Im Whitepaper vCenter Server 6.0-Bereitstellungshandbuch auf der VMware-Website wird diese Konfiguration behandelt.

Ersetzen der Maschinen-SSL-Zertifikate in Umgebungen mit mehreren Verwaltungsknoten

Wenn Ihre Umgebung mehrere Verwaltungsknoten und eine einzige Platform Services Controller-Instanz aufweist, können Sie Zertifikate mit dem Dienstprogramm vSphere Certificate Manager oder aber manuell mit vSphere-CLI-Befehlen ersetzen.

vSphere Certificate Manager

vSphere Certificate Manager können Sie auf jeder Maschine ausführen. Auf Verwaltungsknoten werden Sie zur Eingabe der IP-Adresse des Platform Services Controller aufgefordert. In Abhängigkeit von der ausgeführten Aufgabe werden Sie auch zur Eingabe der Zertifikatinformationen aufgefordert.

Manuelle Zertifikatsersetzung

Für die manuelle Zertifikatsersetzung führen Sie die Zertifikatsersetzungsbefehle auf jeder Maschine aus. Auf Verwaltungsknoten müssen Sie den Platform Services Controller mit dem Parameter --server angeben. Weitere Informationen finden Sie in den folgenden Themen:

Ersetzen der Lösungsbenutzerzertifikate in Umgebungen mit mehreren Verwaltungsknoten

Wenn Ihre Umgebung mehrere Verwaltungsknoten und eine einzige Platform Services Controller-Instanz aufweist, führen Sie für die Zertifikatsersetzung die folgenden Schritte aus.

Anmerkung:

Wenn Sie Lösungsbenutzerzertifikate bei großen Bereitstellungen auflisten, enthält die Ausgabe von dir-cli list alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.

vSphere Certificate Manager

vSphere Certificate Manager können Sie auf jeder Maschine ausführen. Auf Verwaltungsknoten werden Sie zur Eingabe der IP-Adresse des Platform Services Controller aufgefordert. In Abhängigkeit von der ausgeführten Aufgabe werden Sie auch zur Eingabe der Zertifikatinformationen aufgefordert.

Manuelle Zertifikatsersetzung

  1. Generieren Sie ein Zertifikat oder fordern Sie ein Zertifikat an. Sie benötigen die folgenden Zertifikate:

    • Ein Zertifikat für den Lösungsbenutzer „machine“ auf dem Platform Services Controller.

    • Ein Zertifikat für den Lösungsbenutzer „machine“ auf jedem Verwaltungsknoten.

    • Ein Zertifikat für jeden der folgenden Lösungsbenutzer auf jedem Verwaltungsknoten:

      • Benutzer vpxd solution

      • Lösungsbenutzer vpxd-extension

      • Lösungsbenutzer vsphere-webclient

  2. Ersetzen Sie die Zertifikate auf jedem Knoten. Die genaue Vorgehensweise hängt vom verwendeten Zertifikatsersetzungstyp ab. Siehe Verwalten von Zertifikaten mit dem Dienstprogramm vSphere Certificate Manager.

Weitere Informationen finden Sie in den folgenden Themen:

Zertifikatsersetzung in Umgebungen mit externen Lösungen

Einige Lösungen wie beispielsweise VMware vCenter Site Recovery Manager oder VMware vSphere Replication werden immer auf einem anderen Computer als das vCenter Server-System oder Platform Services Controller installiert. Beim Ersetzen des Standard-SSL-Zertifikats des Rechners auf dem vCenter Server-System oder dem Platform Services Controller, tritt ein Verbindungsfehler auf, falls die Lösung versucht, sich mit dem vCenter Server-System zu verbinden.

Sie können das Skript ls_update_certs ausführen, um das Problem zu beheben. Details finden Sie im VMware-Knowledgebase-Artikel 2109074.