Generieren eines neuen VMCA-signierten Stammzertifikats

Sie generieren neue VMCA-signierte Zertifikate mit der certool-CLI oder dem vSphere Certificate Manager-Dienstprogramm und veröffentlichen die Zertifikate in vmdir.

Bei einer Bereitstellung mit mehreren Knoten führen Sie Befehle zum Generieren von Root-Zertifikaten im Platform Services Controller aus.

Prozedur

Generieren Sie ein neues selbstsigniertes Zertifikat und einen privaten Schlüssel.

certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>

Ersetzen Sie das vorhandene Root-Zertifikat durch das neue Zertifikat.
```
certool --rootca --cert <cert_file_path> --privkey <key_file_path>
```
Mit diesem Befehl wird das Zertifikat generiert und zu vmdir sowie zu VECS hinzugefügt.
Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung.
Die Dienstnamen sind unter Windows und bei der vCenter Server Appliance unterschiedlich.
Hinweis: Wenn in Ihrer Umgebung ein externer Platform Services Controller verwendet wird, brauchen Sie VMware Directory Service (vmdird) und VMware Certificate Authority (vmcad) auf dem vCenter Server-Knoten nicht zu beenden und zu starten. Diese Dienste werden unter dem Platform Services Controller ausgeführt.
Windows
```
service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
```
vCenter Server Appliance
```
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
```
(Optional) Veröffentlichen Sie das neue Root-Zertifikat in vmdir.
```
dir-cli trustedcert publish --cert newRoot.crt
```
Der Befehl aktualisiert alle vmdir-Instanzen sofort. Wenn Sie den Befehl nicht ausführen, kann die Weiterleitung des neuen Zertifikats an alle Knoten einige Zeit dauern.
Starten Sie alle Dienste neu.
```
service-control --start --all
```

Beispiel: Generieren eines neuen VMCA-signierten Stammzertifikats

Das folgende Beispiel veranschaulicht alle Schritte, um die Informationen zur aktuellen Root-Zertifizierungsstelle zu überprüfen und das Root-Zertifikat neu zu generieren.

(Optional) Listen Sie das VMCA-Root-Zertifikat auf, um sicherzustellen, dass es sich im Zertifikatspeicher befindet.

In einem Platform Services Controller-Knoten oder einer eingebetteten Installation:
```
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
```

In einem Verwaltungsknoten (externe Installation):

C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>

Die Ausgabe sieht so oder ähnlich aus:

output:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
    ...

(Optional) Listen Sie den VECS TRUSTED_ROOTS-Speicher auf und vergleichen Sie die Seriennummer des Zertifikats mit der Ausgabe aus Schritt 1.
Dieser Befehl kann sowohl für Platform Services Controller-Knoten als auch für Verwaltungsknoten verwendet werden, da VECS eine Abfrage für vmdir ausführt.
```
"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
```
Im einfachsten Fall mit nur einem Root-Zertifikat sieht die Ausgabe wie folgt aus:
```
Number of entries in store :    1
Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
Entry type :    Trusted Cert
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
```
Generieren Sie ein neues VMCA-Root-Zertifikat. Der Befehl fügt das Zertifikat zum TRUSTED_ROOTS-Speicher in VECS und in vmdir (VMware Directory Service) hinzu.
```
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"
```
Unter Windows ist --config optional, da der Befehl die Standarddatei certool.cfg verwendet.