Ersetzen des VMCA-Rootzertifikats durch ein benutzerdefiniertes Signaturzertifikat und Ersetzen aller Zertifikate

Sie können vSphere Certificate Manager zum Generieren eines CSR und zum Senden des CSR an eine Unternehmens- oder Drittanbieter-Zertifizierungsstelle zum Signieren verwenden. Anschließend können Sie das VMCA-Root-Zertifikat durch ein benutzerdefiniertes Signaturzertifikat und alle bestehenden Zertifikate durch von der Zertifizierungsstelle signierte Zertifikate ersetzen.

vSphere Certificate Manager führen Sie für eine eingebettete Installation oder einen externen Platform Services Controller aus, um das VMCA-Rootzertifikat durch ein benutzerdefiniertes Signaturzertifikat zu ersetzen.

Voraussetzungen

Generieren Sie die Zertifikatskette.
- Sie können die CSR mithilfe des vSphere Certificate Manager oder manuell erstellen.
- Nachdem Sie das signierte Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erhalten haben, kombinieren Sie es mit dem anfänglichen VMCA-Stammzertifikat, um die vollständige Zertifikatskette zu erstellen.
  Zertifikatsanforderungen und das Verfahren zum Kombinieren der Zertifikate finden Sie unter Generieren von CSRs mit vSphere Certificate Manager und Vorbereiten des Rootzertifikats (Zwischenzertifizierungsstelle).
Sammeln Sie die erforderlichen Informationen.
- Kennwort für „[email protected]“.
- Gültiges benutzerdefiniertes Zertifikat für Root (.crt-Datei).
- Gültiger benutzerdefinierter Schlüssel für Root (.key-Datei).

Prozedur

Starten Sie vSphere Certificate Manager in einer eingebetteten Installation oder auf einem externen Platform Services Controller und wählen Sie Option 2 aus.
Wählen Sie erneut Option 2 aus, um die Zertifikatsersetzung zu starten, und befolgen Sie die Anweisungen.
1. Geben Sie, wenn Sie dazu aufgefordert werden, den vollständigen Pfad zum Stammzertifikat an.
2. Falls Sie Zertifikate erstmalig ersetzen, werden Sie zur Eingabe von Informationen für das Maschinen-SSL-Zertifikat aufgefordert.
  Diese Informationen beinhalten den erforderlichen FQDN der Maschine und werden in der Datei certool.cfg gespeichert.
Falls Sie das Rootzertifikat in einer Bereitstellung mit mehreren Knoten auf dem Platform Services Controller ersetzen, führen Sie für jeden vCenter Server-Knoten die folgenden Schritte aus.
1. Starten Sie die Dienste auf dem vCenter Server-Knoten neu.
2. Generieren Sie alle Zertifikate auf der vCenter Server-Instanz neu, indem Sie die Optionen 3 (Replace Machine SSL certificate with VMCA Certificate) und 6 (Replace Solution user certificates with VMCA certificates) verwenden.
Beim Ersetzen der Zertifikate signiert VMCA mit der vollständigen Zertifikatskette.

Nächste Maßnahme

Wenn Sie das Upgrade von einer vSphere 5.x-Umgebung aus vornehmen, müssen Sie möglicherweise das vCenter Single Sign On-Zertifikat innerhalb von vmdir ersetzen. Weitere Informationen hierzu finden Sie unter Ersetzen des VMware Directory Service-Zertifikats in Umgebungen im gemischten Modus.