Sie generieren neue VMCA-signierte Zertifikate mit der certool-CLI oder dem vSphere Certificate Manager-Dienstprogramm und veröffentlichen die Zertifikate in vmdir.

Warum und wann dieser Vorgang ausgeführt wird

Bei einer Bereitstellung mit mehreren Knoten führen Sie Befehle zum Generieren von Root-Zertifikaten im Platform Services Controller aus.

Prozedur

  1. Generieren Sie ein neues selbstsigniertes Zertifikat und einen privaten Schlüssel.
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. Ersetzen Sie das vorhandene Root-Zertifikat durch das neue Zertifikat.
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>

    Mit diesem Befehl wird das Zertifikat generiert und zu vmdir sowie zu VECS hinzugefügt.

  3. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.

    Die Dienstnamen sind unter Windows und bei der vCenter Server Appliance unterschiedlich.

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. (Optional) : Veröffentlichen Sie das neue Root-Zertifikat in vmdir.
    dir-cli trustedcert publish --cert newRoot.crt
    

    Der Befehl aktualisiert alle vmdir-Instanzen sofort. Wenn Sie den Befehl nicht ausführen, kann die Weiterleitung des neuen Zertifikats an alle Knoten einige Zeit dauern.

  5. Starten Sie alle Dienste neu.
    service-control --start --all
    

Generieren eines neuen VMCA-signierten Stammzertifikats

Das folgende Beispiel veranschaulicht alle Schritte, um die Informationen zur aktuellen Root-Zertifizierungsstelle zu überprüfen und das Root-Zertifikat neu zu generieren.

  1. (Optional) Listen Sie das VMCA-Root-Zertifikat auf, um sicherzustellen, dass es sich im Zertifikatspeicher befindet.

    • In einem Platform Services Controller-Knoten oder einer eingebetteten Installation:

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
    • In einem Verwaltungsknoten (externe Installation):

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>

    Die Ausgabe sieht so oder ähnlich aus:

    output:
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af
        ...
    

  2. (Optional) Listen Sie den VECS TRUSTED_ROOTS-Speicher auf und vergleichen Sie die Seriennummer des Zertifikats mit der Ausgabe aus Schritt 1.

    Dieser Befehl kann sowohl für Platform Services Controller-Knoten als auch für Verwaltungsknoten verwendet werden, da VECS eine Abfrage für vmdir ausführt.

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
    

    Im einfachsten Fall mit nur einem Root-Zertifikat sieht die Ausgabe wie folgt aus:

    Number of entries in store :    1
    Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
    Entry type :    Trusted Cert
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af

  3. Generieren Sie ein neues VMCA-Root-Zertifikat. Der Befehl fügt das Zertifikat zum TRUSTED_ROOTS-Speicher in VECS und in vmdir (VMware Directory Service) hinzu.

    C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"

    Unter Windows ist --config optional, da der Befehl die Standarddatei certool.cfg verwendet.