Zertifikatsersetzung bei großen Bereitstellungen

Wenn Sie Zertifikate in Bereitstellungen mit vielen vCenter Server-Hosts ersetzen, können Sie das vSphere Certificate Manager-Dienstprogramm verwenden oder Zertifikate manuell ersetzen. Das von Ihnen ausgewählte Verfahren wird von einigen Best Practices begleitet.

Ersetzen der Maschinen-SSL-Zertifikate in Umgebungen mit mehreren vCenter Server-Knoten

Wenn Ihre Umgebung mehrere vCenter Server-Knoten enthält, können Sie Zertifikate mit dem vSphere Client, dem vSphere Certificate Manager-Dienstprogramm oder manuell mithilfe von ESXCLI-Befehlen ersetzen.

vSphere Certificate Manager

vSphere Certificate Manager können Sie auf jeder Maschine ausführen. In Abhängigkeit von der ausgeführten Aufgabe werden Sie auch zur Eingabe der Zertifikatinformationen aufgefordert.

Manuelle Zertifikatsersetzung

Für die manuelle Zertifikatsersetzung führen Sie die Zertifikatsersetzungsbefehle auf jeder Maschine aus. Weitere Informationen finden Sie in den folgenden Themen:

Ersetzen von Lösungsbenutzerzertifikaten in Umgebungen mit mehreren vCenter Server-Systemen im erweiterten verknüpften Modus

Wenn Ihre Umgebung mehrere vCenter Server-Systeme im erweiterten verknüpften Modus enthält, führen Sie die folgenden Schritte für die Zertifikatsersetzung aus.

Hinweis: Wenn Sie Lösungsbenutzerzertifikate bei großen Bereitstellungen auflisten, enthält die Ausgabe von dir-cli list alle Lösungsbenutzer aus allen Knoten. Führen Sie vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.

vSphere Certificate Manager

vSphere Certificate Manager können Sie auf jeder Maschine ausführen. In Abhängigkeit von der ausgeführten Aufgabe werden Sie auch zur Eingabe der Zertifikatinformationen aufgefordert.

Manuelle Zertifikatsersetzung

Generieren Sie ein Zertifikat oder fordern Sie ein Zertifikat an. Sie benötigen die folgenden Zertifikate:
- Ein Zertifikat für den Lösungsbenutzer „machine“ auf jedem vCenter Server.
- Ein Zertifikat für jeden der folgenden Lösungsbenutzer auf allen Knoten:
  - Lösungsbenutzer vpxd
  - Lösungsbenutzer vpxd-extension
  - Lösungsbenutzer vsphere-webclient
  - Lösungsbenutzer wcp
Ersetzen Sie die Zertifikate auf jedem Knoten. Die genaue Vorgehensweise hängt vom verwendeten Zertifikatsersetzungstyp ab. Weitere Informationen hierzu finden Sie unter Verwalten von Zertifikaten mit dem Dienstprogramm vSphere Certificate Manager.

Weitere Informationen finden Sie in den folgenden Themen:

Zertifikatsersetzung in Umgebungen mit externen Lösungen

Bestimmte Lösungen, wie z. B. VMware vCenter Site Recovery Manager oder VMware vSphere Replication, werden immer auf einer anderen Maschine als das vCenter Server-System installiert. Beim Ersetzen des standardmäßigen Maschinen-SSL-Zertifikats auf dem vCenter Server-System, tritt ein Verbindungsfehler auf, wenn die Lösung versuchsweise eine Verbindung zum vCenter Server-System herstellt.

Sie können das Skript ls_update_certs ausführen, um das Problem zu beheben. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2109074.