Die Zertifikatersetzung bei Bereitstellungen, die mehrere Verwaltungsknoten und einen oder mehrere Platform Services Controller-Knoten enthalten, ist mit der Zertifikatersetzung bei eingebetteten Bereitstellungen vergleichbar. In beiden Fällen können Sie das Dienstprogramm vSphere Certificate Management verwenden oder die Zertifikate manuell ersetzen. Für die Zertifikatsersetzung gelten bestimmte Best Practices.
Zertifikatsersetzung in High Availability-Umgebungen mit Lastausgleichsdienst
In Umgebungen mit weniger als acht vCenter Server-Systemen stellen Sie in der Regel eine einzige Platform Services Controller-Instanz und den zugehörigen vCenter Single Sign On-Dienst bereit. In größeren Umgebungen können Sie mehrere durch einen Netzwerk-Lastausgleichsdienst geschützte Platform Services Controller-Instanzen verwenden. Im Whitepaper vCenter Server 6.0-Bereitstellungshandbuch auf der VMware-Website wird diese Konfiguration behandelt.
Ersetzen der Maschinen-SSL-Zertifikate in Umgebungen mit mehreren Verwaltungsknoten
Wenn Ihre Umgebung mehrere Verwaltungsknoten und eine einzige Platform Services Controller-Instanz aufweist, können Sie Zertifikate mit dem vSphere Client oder dem vSphere Certificate Manager-Dienstprogramm oder aber manuell mit vSphere-CLI-Befehlen ersetzen.
- vSphere Certificate Manager
- vSphere Certificate Manager können Sie auf jeder Maschine ausführen. Auf Verwaltungsknoten werden Sie zur Eingabe der IP-Adresse des Platform Services Controller aufgefordert. In Abhängigkeit von der ausgeführten Aufgabe werden Sie auch zur Eingabe der Zertifikatinformationen aufgefordert.
- Manuelle Zertifikatsersetzung
- Für die manuelle Zertifikatsersetzung führen Sie die Zertifikatsersetzungsbefehle auf jeder Maschine aus. Auf Verwaltungsknoten müssen Sie den Platform Services Controller mit dem Parameter --server angeben. Weitere Informationen finden Sie in den folgenden Themen:
Ersetzen der Lösungsbenutzerzertifikate in Umgebungen mit mehreren Verwaltungsknoten
Wenn Ihre Umgebung mehrere Verwaltungsknoten und eine einzige Platform Services Controller-Instanz aufweist, führen Sie für die Zertifikatsersetzung die folgenden Schritte aus.
- vSphere Certificate Manager
- vSphere Certificate Manager können Sie auf jeder Maschine ausführen. Auf Verwaltungsknoten werden Sie zur Eingabe der IP-Adresse des Platform Services Controller aufgefordert. In Abhängigkeit von der ausgeführten Aufgabe werden Sie auch zur Eingabe der Zertifikatinformationen aufgefordert.
- Manuelle Zertifikatsersetzung
-
- Generieren Sie ein Zertifikat oder fordern Sie ein Zertifikat an. Sie benötigen die folgenden Zertifikate:
- Ein Zertifikat für den Lösungsbenutzer „machine“ auf dem Platform Services Controller.
- Ein Zertifikat für den Lösungsbenutzer „machine“ auf jedem Verwaltungsknoten.
- Ein Zertifikat für jeden der folgenden Lösungsbenutzer auf jedem Verwaltungsknoten:
- Benutzer
vpxd solution - Lösungsbenutzer
vpxd-extension - Lösungsbenutzer
vsphere-webclient
- Benutzer
- Ersetzen Sie die Zertifikate auf jedem Knoten. Die genaue Vorgehensweise hängt vom verwendeten Zertifikatsersetzungstyp ab. Weitere Informationen hierzu finden Sie unter Verwalten von Zertifikaten mit dem Dienstprogramm vSphere Certificate Manager.
- Generieren Sie ein Zertifikat oder fordern Sie ein Zertifikat an. Sie benötigen die folgenden Zertifikate:
Zertifikatsersetzung in Umgebungen mit externen Lösungen
Einige Lösungen wie beispielsweise VMware vCenter Site Recovery Manager oder VMware vSphere Replication werden immer auf einem anderen Computer als das vCenter Server-System oder Platform Services Controller installiert. Beim Ersetzen des Standard-SSL-Zertifikats des Rechners auf dem vCenter Server-System oder dem Platform Services Controller, tritt ein Verbindungsfehler auf, falls die Lösung versucht, sich mit dem vCenter Server-System zu verbinden.
Sie können das Skript ls_update_certs ausführen, um das Problem zu beheben. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2109074.
