Sie können das VMCA-Rootzertifikat neu generieren und das lokale Maschinen-SSL-Zertifikat sowie die lokalen Lösungsbenutzerzertifikate durch VMCA-signierte Zertifikate ersetzen. Bei Bereitstellungen mit mehreren Knoten führen Sie vSphere Certificate Manager mit dieser Option auf dem Platform Services Controller aus. Führen Sie anschließend das Dienstprogramm erneut auf allen anderen Knoten aus und wählen Sie Replace Machine SSL certificate with VMCA Certificate und Replace Solution user certificates with VMCA certificates aus.

Warum und wann dieser Vorgang ausgeführt wird

Wenn Sie das vorhandene Maschinen-SSL-Zertifikat durch ein neues VMCA-signiertes Zertifikat ersetzen, werden Sie von vSphere Certificate Manager zur Eingabe von Informationen aufgefordert. vSphere Certificate Manager gibt alle Werte mit Ausnahme des Kennworts und der IP-Adresse des Platform Services Controller in die Datei certool.cfg ein.

  • Kennwort für „administrator@vsphere.local“.

  • Aus zwei Buchstaben bestehender Ländercode

  • Name des Unternehmens

  • Organisationsname

  • Organisationseinheit

  • Zustand

  • Ort

  • IP-Adresse (optional)

  • E-Mail

  • Hostname, d. h., der vollqualifizierte Domänenname der Maschine, für die Sie das Zertifikat ersetzen möchten. Wenn der Hostname nicht mit dem FQDN übereinstimmt, wird die Zertifikatsersetzung nicht ordnungsgemäß abgeschlossen und Ihre Umgebung weist möglicherweise einen instabilen Status auf.

  • IP-Adresse des Platform Services Controller, wenn Sie den Befehl auf einem Verwaltungsknoten ausführen

Voraussetzungen

Sie müssen die folgenden Informationen kennen, wenn Sie vSphere Certificate Manager mit dieser Option ausführen.

  • Kennwort für „administrator@vsphere.local“.

  • Der FQDN der Maschine, für die Sie ein neues VMCA-signiertes Zertifikat generieren möchten. Für alle anderen Eigenschaften werden standardmäßig die vordefinierten Werte verwendet, die Sie jedoch ändern können.

Prozedur

  1. Starten Sie vSphere Certificate Manager in einer eingebetteten Bereitstellung oder auf einem Platform Services Controller.
  2. Wählen Sie Option 4 aus.
  3. Beantworten Sie die Eingabeaufforderungen.

    Certificate Manager generiert ein neues VMCA-Rootzertifikat basierend auf Ihrer Eingabe und ersetzt alle Zertifikate in dem System, in dem Certificate Manager ausgeführt wird. Wenn Sie eine eingebettete Bereitstellung verwenden, ist der Ersetzungsvorgang abgeschlossen, nachdem Certificate Manager die Dienste neu gestartet hat.

  4. Falls Ihre Umgebung einen externen Platform Services Controller enthält, müssen Sie die Zertifikate in jedem vCenter Server-System ersetzen.
    1. Melden Sie sich beim vCenter Server-System an.
    2. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.

      Die Dienstnamen sind unter Windows und bei der vCenter Server Appliance unterschiedlich.

      Windows

      service-control --stop --all
      service-control --start VMWareAfdService
      service-control --start VMWareDirectoryService
      service-control --start VMWareCertificateService
      

      vCenter Server Appliance

      service-control --stop --all
      service-control --start vmafdd
      service-control --start vmdird
      service-control --start vmcad
      
    3. Starten Sie alle Dienste neu.
      service-control --start --all
      
    4. Führen Sie zum Ersetzen des SSL-Zertifikats der Maschine vSphere Certificate Manager mit Option 3, Replace Machine SSL certificate with VMCA Certificate, aus.
    5. Führen Sie zum Ersetzen der Lösungsbenutzerzertifikate Certificate Manager mit Option 6, Replace Solution user certificates with VMCA certificates, aus.