Sie können die VMCA-Zertifikate von einer anderen Zertifizierungsstelle signieren lassen, sodass VMCA eine Zwischenzertifizierungsstelle wird. In Zukunft beinhalten alle von VMCA generierten Zertifikate die vollständige Zertifikatskette.

Diese Konfiguration können Sie mit dem Dienstprogramm vSphere Certificate Manager, mit Befehlszeilenschnittstellen (CLIs) oder über die Platform Services Controller-Webschnittstelle ausführen.

Voraussetzungen

  1. Generieren Sie die Zertifikatsignieranforderung (Certificate Signing Request, CSR).
  2. Bearbeiten Sie das erhaltene Zertifikat und platzieren Sie das aktuelle VMCA-Rootzertifikat im unteren Bereich.

Im Abschnitt Generieren von CSRs mit vSphere Certificate Manager und Vorbereiten des Rootzertifikats (Zwischenzertifizierungsstelle) werden beide Schritte erläutert.

Prozedur

  1. Stellen Sie über einen Webbrowser eine Verbindung mit dem Platform Services Controller unter https://Psc_hostname_or_IP/psc her.
    In einer eingebetteten Bereitstellung stimmt der Hostname oder die IP-Adresse von Platform Services Controller mit dem Hostnamen oder der IP-Adresse von vCenter Server überein.
  2. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Um die vorhandenen Zertifikate durch das verkettete Zertifikat zu ersetzen, befolgen Sie diese Schritte:
    1. Klicken Sie unter „Zertifikate“ auf Zertifizierungsstelle und wählen Sie die Registerkarte Rootzertifikat aus.
    2. Klicken Sie auf Zertifikat ersetzen.
    3. Klicken Sie im Dialogfeld Rootzertifikat ersetzen auf Durchsuchen und wählen Sie den privaten Schlüssel aus. Klicken Sie erneut auf Durchsuchen, wählen Sie das Zertifikat aus und klicken Sie auf OK.
    In Zukunft signiert VMCA alle ausgestellten Zertifikate mit dem neuen verketteten Rootzertifikat.
  4. Verlängern Sie das Maschinen-SSL-Zertifikat für das lokale System.
    1. Klicken Sie unter „Zertifikate“ auf Zertifikatsverwaltung und klicken Sie auf die Registerkarte Maschinenzertifikate.
    2. Wählen Sie das Zertifikat aus, klicken Sie auf Verlängern und beantworten Sie die Eingabeaufforderung mit Ja.
    VMCA ersetzt das Maschinen-SSL-Zertifikat durch das von der neuen Zertifizierungsstelle signierte Zertifikat.
  5. (Optional) Verlängern Sie die Lösungsbenutzerzertifikate für das lokale System.
    1. Klicken Sie auf die Registerkarte Lösungsbenutzerzertifikate.
    2. Wählen Sie ein Zertifikat aus, klicken Sie auf Verlängern, um einzelne ausgewählte Zertifikate zu verlängern, oder klicken Sie auf Alle verlängern, um alle Zertifikate zu ersetzen, und beantworten Sie die Eingabeaufforderung mit Ja.
    VMCA ersetzt das Lösungsbenutzerzertifikat bzw. alle Lösungsbenutzerzertifikate durch von der neuen Zertifizierungsstelle signierte Zertifikate.
  6. Wenn in Ihrer Umgebung ein externer Platform Services Controller vorhanden ist, können Sie die Zertifikate für jedes vCenter Server-System verlängern.
    1. Klicken Sie im Bereich „Zertifikatsverwaltung“ auf die Schaltfläche Abmelden.
    2. Geben Sie bei Aufforderung die IP-Adresse oder den FQDN des vCenter Server-Systems und den Benutzernamen sowie das Kennwort eines vCenter Server-Administrators an.
      Der Administrator muss sich mittels vCenter Single Sign On authentifizieren können.
    3. Verlängern Sie das Maschinen-SSL-Zertifikat auf dem vCenter Server und optional jedes Lösungsbenutzerzertifikat.
    4. Falls mehrere vCenter Server-Systeme in Ihrer Umgebung vorhanden sind, wiederholen Sie den Vorgang für jedes System.

Nächste Maßnahme

Starten Sie die Dienste auf dem Platform Services Controller neu. Sie können entweder den Platform Services Controller neu starten oder die folgenden Befehle über die Befehlszeile ausführen:

Windows

Unter Windows befindet sich der Befehl service-control unter VCENTER_INSTALL_PATH\bin. 

service-control --stop --all 
service-control --start VMWareAfdService 
service-control --start VMWareDirectoryService 
service-control --start VMWareCertificateService
vCenter Server Appliance 
service-control --stop --all
service-control --start vmafdd 
service-control --start vmdird 
service-control --start vmcad