Sie können das VMCA-Rootzertifikat neu generieren und das lokale Maschinen-SSL-Zertifikat sowie die lokalen Lösungsbenutzerzertifikate durch VMCA-signierte Zertifikate ersetzen. Bei Bereitstellungen mit mehreren Knoten führen Sie vSphere Certificate Manager mit dieser Option auf dem Platform Services Controller aus. Führen Sie anschließend das Dienstprogramm erneut auf allen anderen Knoten aus und wählen Sie Replace Machine SSL certificate with VMCA Certificate und Replace Solution user certificates with VMCA certificates aus.

Wenn Sie das vorhandene Maschinen-SSL-Zertifikat durch ein neues VMCA-signiertes Zertifikat ersetzen, werden Sie von vSphere Certificate Manager zur Eingabe von Informationen aufgefordert. vSphere Certificate Manager gibt alle Werte mit Ausnahme des Kennworts und der IP-Adresse des Platform Services Controller in die Datei certool.cfg ein.

  • Kennwort für „[email protected]“.
  • Aus zwei Buchstaben bestehender Ländercode
  • Name des Unternehmens
  • Organisationsname
  • Organisationseinheit
  • Zustand
  • Ort
  • IP-Adresse (optional)
  • E-Mail
  • Hostname, d. h., der vollqualifizierte Domänenname der Maschine, für die Sie das Zertifikat ersetzen möchten. Wenn der Hostname nicht mit dem FQDN übereinstimmt, wird die Zertifikatsersetzung nicht ordnungsgemäß abgeschlossen und Ihre Umgebung weist möglicherweise einen instabilen Status auf.
  • IP-Adresse des Platform Services Controllers, wenn Sie den Befehl auf einem Verwaltungsknoten ausführen.
  • VMCA-Name, der der vollqualifizierte Domänenname der Maschine ist, auf der die Zertifikatskonfiguration ausgeführt wird.

Voraussetzungen

Sie müssen die folgenden Informationen kennen, wenn Sie vSphere Certificate Manager mit dieser Option ausführen.

  • Kennwort für „[email protected]“.
  • Der FQDN der Maschine, für die Sie ein neues VMCA-signiertes Zertifikat generieren möchten. Für alle anderen Eigenschaften werden standardmäßig die vordefinierten Werte verwendet, die Sie jedoch ändern können.

Prozedur

  1. Melden Sie sich bei vCenter Server in einer eingebetteten Bereitstellung oder auf einem Platform Services Controller an und starten Sie den vSphere Certificate Manager.
    Betriebssystem Befehl
    Linux /usr/lib/vmware-vmca/bin/certificate-manager
    Windows C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager.bat
  2. Wählen Sie Option 4 aus, Regenerate a new VMCA Root Certificate and replace all certificates.
  3. Beantworten Sie die Eingabeaufforderungen.
    Certificate Manager generiert ein neues VMCA-Rootzertifikat basierend auf Ihrer Eingabe und ersetzt alle Zertifikate in dem System, in dem Certificate Manager ausgeführt wird. Wenn Sie eine eingebettete Bereitstellung verwenden, ist der Ersetzungsvorgang abgeschlossen, nachdem Certificate Manager die Dienste neu gestartet hat.
  4. Falls Ihre Umgebung einen externen Platform Services Controller enthält, müssen Sie die Zertifikate in jedem vCenter Server-System ersetzen.
    1. Melden Sie sich beim vCenter Server-System an.
    2. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.
      Die Dienstnamen sind unter Windows und bei der vCenter Server Appliance unterschiedlich.
      Windows 
      service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
      vCenter Server Appliance 
      service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
    3. Starten Sie alle Dienste neu. 
      service-control --start --all
    4. Führen Sie zum Ersetzen des SSL-Zertifikats der Maschine vSphere Certificate Manager mit Option 3, Replace Machine SSL certificate with VMCA Certificate, aus.
    5. Führen Sie zum Ersetzen der Lösungsbenutzerzertifikate Certificate Manager mit Option 6, Replace Solution user certificates with VMCA certificates, aus.