Sie können vSphere Certificate Manager zum Generieren eines CSR und zum Senden des CSR an eine Unternehmens- oder Drittanbieter-Zertifizierungsstelle zum Signieren verwenden. Anschließend können Sie das VMCA-Root-Zertifikat durch ein benutzerdefiniertes Signaturzertifikat und alle bestehenden Zertifikate durch von der Zertifizierungsstelle signierte Zertifikate ersetzen.

Warum und wann dieser Vorgang ausgeführt wird

vSphere Certificate Manager führen Sie für eine eingebettete Installation oder einen externen Platform Services Controller aus, um das VMCA-Rootzertifikat durch ein benutzerdefiniertes Signaturzertifikat zu ersetzen.

Voraussetzungen

  • Generieren Sie die Zertifikatskette.

  • Sammeln Sie die erforderlichen Informationen.

    • Kennwort für „administrator@vsphere.local“.

    • Gültiges benutzerdefiniertes Zertifikat für Root (.crt-Datei).

    • Gültiger benutzerdefinierter Schlüssel für Root (.key-Datei).

Prozedur

  1. Starten Sie vSphere Certificate Manager in einer eingebetteten Installation oder auf einem externen Platform Services Controller und wählen Sie Option 2 aus.
  2. Wählen Sie erneut Option 2 aus, um die Zertifikatsersetzung zu starten, und befolgen Sie die Anweisungen.
    1. Geben Sie, wenn Sie dazu aufgefordert werden, den vollständigen Pfad zum Stammzertifikat an.
    2. Falls Sie Zertifikate erstmalig ersetzen, werden Sie zur Eingabe von Informationen für das Maschinen-SSL-Zertifikat aufgefordert.

      Diese Informationen beinhalten den erforderlichen FQDN der Maschine und werden in der Datei certool.cfg gespeichert.

  3. Falls Sie das Rootzertifikat in einer Bereitstellung mit mehreren Knoten auf dem Platform Services Controller ersetzen, führen Sie für jeden vCenter Server-Knoten die folgenden Schritte aus.
    1. Starten Sie die Dienste auf dem vCenter Server-Knoten neu.
    2. Generieren Sie alle Zertifikate auf der vCenter Server-Instanz neu, indem Sie die Optionen 3 (Replace Machine SSL certificate with VMCA Certificate) und 6 (Replace Solution user certificates with VMCA certificates) verwenden.

    Beim Ersetzen der Zertifikate signiert VMCA mit der vollständigen Zertifikatskette.

Nächste Maßnahme

Wenn Sie das Upgrade von einer vSphere 5.x-Umgebung aus vornehmen, müssen Sie möglicherweise das vCenter Single Sign On-Zertifikat innerhalb von vmdir ersetzen. Weitere Informationen hierzu finden Sie unter Ersetzen des VMware Directory Service-Zertifikats in Umgebungen im gemischten Modus.