Sie generieren neue VMCA-signierte Zertifikate mit der certool-CLI oder dem vSphere Certificate Manager-Dienstprogramm und veröffentlichen die Zertifikate in vmdir.

Prozedur

  1. Generieren Sie auf dem vCenter Server ein neues selbstsigniertes Zertifikat und einen privaten Schlüssel. 
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. Ersetzen Sie das vorhandene Root-Zertifikat durch das neue Zertifikat. 
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>
    Mit diesem Befehl wird das Zertifikat generiert und zu vmdir sowie zu VECS hinzugefügt.
  3. Beenden Sie alle Dienste und starten Sie die Dienste für die Zertifikaterstellung, Weitergabe und Speicherung. 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  4. (Optional) Veröffentlichen Sie das neue Root-Zertifikat in vmdir. 
    dir-cli trustedcert publish --cert newRoot.crt
    Der Befehl aktualisiert alle vmdir-Instanzen sofort. Wenn Sie den Befehl nicht ausführen, kann die Weiterleitung des neuen Zertifikats an alle Knoten einige Zeit in Anspruch nehmen.
  5. Starten Sie alle Dienste neu. 
    service-control --start --all

Beispiel: Generieren eines neuen VMCA-signierten Stammzertifikats

Das folgende Beispiel veranschaulicht alle Schritte, um die Informationen zur aktuellen Root-Zertifizierungsstelle zu überprüfen und das Root-Zertifikat neu zu generieren.
  1. (Optional) Listen Sie auf dem vCenter Server das VMCA-Root-Zertifikat auf, um sicherzustellen, dass es sich im Zertifikatspeicher befindet. 
    /usr/lib/vmware-vmca/bin/certool --getrootca
    Die Ausgabe sieht so oder ähnlich aus: 
    output:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
    ...
  2. (Optional) Listen Sie den VECS TRUSTED_ROOTS-Speicher auf und vergleichen Sie die Seriennummer des Zertifikats mit der Ausgabe aus Schritt 1.
    /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS --text
    Im einfachsten Fall mit nur einem Root-Zertifikat sieht die Ausgabe wie folgt aus: 
    Number of entries in store :    1
Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
Entry type :    Trusted Cert
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
  3. Generieren Sie ein neues VMCA-Root-Zertifikat. Der Befehl fügt das Zertifikat zum TRUSTED_ROOTS-Speicher in VECS und in vmdir (VMware Directory Service) hinzu. 
    /usr/lib/vmware-vmca/bin/certool --selfca --config=/usr/lib/vmware-vmca/share/config/certool.cfg