In einer Bereitstellung mit mehreren Knoten, die VMCA als Zwischenzertifizierungsstelle verwendet, müssen Sie das Maschinen-SSL-Zertifikat explizit ersetzen. Zuerst ersetzen Sie das VMCA-Stammzertifikat auf dem Platform Services Controller-Knoten; dann können Sie die Zertifikate auf den vCenter Server-Knoten ersetzen, damit die Zertifikate in der gesamte Kette signiert sind. Sie können diese Option auch verwenden, um beschädigte oder in Kürze ablaufende Maschinen-SSL-Zertifikate zu ersetzen.

Wenn Sie das vorhandene Maschinen-SSL-Zertifikat durch ein neues VMCA-signiertes Zertifikat ersetzen, werden Sie von vSphere Certificate Manager zur Eingabe von Informationen aufgefordert. vSphere Certificate Manager gibt alle Werte mit Ausnahme des Kennworts und der IP-Adresse des Platform Services Controller in die Datei certool.cfg ein.

  • Kennwort für „[email protected]“.
  • Aus zwei Buchstaben bestehender Ländercode
  • Name des Unternehmens
  • Organisationsname
  • Organisationseinheit
  • Zustand
  • Ort
  • IP-Adresse (optional)
  • E-Mail
  • Hostname, d. h., der vollqualifizierte Domänenname der Maschine, für die Sie das Zertifikat ersetzen möchten. Wenn der Hostname nicht mit dem FQDN übereinstimmt, wird die Zertifikatsersetzung nicht ordnungsgemäß abgeschlossen und Ihre Umgebung weist möglicherweise einen instabilen Status auf.
  • IP-Adresse des Platform Services Controllers, wenn Sie den Befehl auf einem Verwaltungsknoten ausführen.
  • VMCA-Name, der der vollqualifizierte Domänenname der Maschine ist, auf der die Zertifikatskonfiguration ausgeführt wird.

Voraussetzungen

  • Starten Sie alle vCenter Server-Knoten explizit neu, falls Sie das VMCA-Stammzertifikat in einer Bereitstellung mit mehreren Knoten ersetzt haben.
  • Sie müssen die folgenden Informationen kennen, um den Zertifikatsmanager mit dieser Option auszuführen.
    • Kennwort für „[email protected]“.
    • Der FQDN der Maschine, für die Sie ein neues VMCA-signiertes Zertifikat generieren möchten. Für alle anderen Eigenschaften werden standardmäßig die vordefinierten Werte verwendet, die Sie jedoch ändern können.
    • Hostname oder IP-Adresse des Platform Services Controller, falls Sie sich auf einem vCenter Server-System mit einem externen Platform Services Controller befinden.

Prozedur

  1. Starten Sie vSphere Certificate Manager und wählen Sie Option 3 aus.
  2. Beantworten Sie die Eingabeaufforderungen.
    Certificate Manager speichert die Informationen in der Datei certool.cfg.

Ergebnisse

vSphere Certificate Manager ersetzt das Maschinen-SSL-Zertifikat.