Während des Upgrades kann es vorkommen, dass in Ihrer Umgebung vorübergehend sowohl vCenter Single Sign On, Version 5.5, als auch vCenter Single Sign On, Version 6.x, vorhanden sind. Sie müssen in diesem Fall zusätzliche Schritte ausführen, um das SSL-Zertifikat des VMware Directory Service zu ersetzen, wenn Sie das SSL-Zertifikat des Knotens ersetzen, auf dem der vCenter Single Sign On-Dienst ausgeführt wird.

Warum und wann dieser Vorgang ausgeführt wird

Das SSL-Zertifikat des VMware Directory Service wird von vmdir für Handshakes zwischen Platform Services Controller-Knoten verwendet, die die vCenter Single Sign On-Replizierung durchführen.

Diese Schritte sind für Umgebungen im gemischten Modus, die Knoten mit vSphere 6.0 und vSphere 6.5 enthalten, nicht erforderlich. Diese Schritte sind nur in folgenden Fällen erforderlich:

  • In Ihrer Umgebung sind sowohl vCenter Single Sign On 5.5- als auch vCenter Single Sign On 6.x-Dienste vorhanden.

  • Die vCenter Single Sign On-Dienste sind für die Replizierung von vmdir-Daten eingerichtet.

  • Sie können die standardmäßigen VMCA-signierten Zertifikate für den Knoten, auf dem der vCenter Single Sign On 6.x-Dienst ausgeführt wird, durch benutzerdefinierte Zertifikate ersetzen.

Anmerkung:

Es empfiehlt sich, vor dem Neustart der Dienste ein Upgrade der kompletten Umgebung durchzuführen. Vom Ersetzen des VMware Directory Service-Zertifikats wird in der Regel abgeraten.

Prozedur

  1. Richten Sie auf dem Knoten, auf dem der vCenter Single Sign On 5.5-Dienst ausgeführt wird, die Umgebung so ein, dass der vCenter Single Sign On 6.x-Dienst bekannt ist.
    1. Sichern Sie alle Dateien im Verzeichnis C:\ProgramData\VMware\CIS\cfg\vmdird.
    2. Erstellen Sie eine Kopie der Datei vmdircert.pem auf dem Knoten der Version 6.x und benennen Sie sie in <sso_node2.domain.com>.pem um, wobei <sso_node2.domain.com> der FQDN des Knotens der Version 6.x ist.
    3. Kopieren Sie das umbenannte Zertifikat in das Verzeichnis C:\ProgramData\VMware\CIS\cfg\vmdird, um das vorhandene Replizierungszertifikat zu ersetzen.
  2. Starten Sie den VMware Directory Service auf allen Maschinen neu, auf denen Sie Zertifikate ersetzt haben.

    Sie können den Dienst über den vSphere Web Client oder mithilfe des Befehls service-control neu starten.