Wenn Sie Zertifikate in Bereitstellungen mit vielen vCenter Server-Hosts ersetzen, können Sie über die CLIs das vSphere Certificate Manager-Dienstprogramm verwenden oder Zertifikate manuell ersetzen. Das von Ihnen ausgewählte Verfahren wird von einigen Best Practices begleitet.

Ersetzen der Maschinen-SSL-Zertifikate in Umgebungen mit mehreren vCenter Server-Systemen

Wenn Ihre Umgebung mehrere vCenter Server-Systeme enthält, können Sie Maschinen-SSL-Zertifikate mit dem vSphere Client, dem vSphere Certificate Manager-Dienstprogramm oder manuell mithilfe von CLI-Befehlen ersetzen.

Verwenden des vSphere Certificate Manager zum Ersetzen von Maschinen-SSL-Zertifikaten auf mehreren vCenter Server-Systemen
vSphere Certificate Manager können Sie auf jeder Maschine ausführen. In Abhängigkeit von der ausgeführten Aufgabe werden Sie auch zur Eingabe der Zertifikatinformationen aufgefordert. Weitere Informationen finden Sie in den folgenden Themen:
Verwenden der CLI zum manuellen Ersetzen von Maschinen-SSL-Zertifikaten auf mehreren vCenter Server-Systemen
Für die manuelle Zertifikatsersetzung führen Sie die Zertifikatsersetzungs-CLI-Befehle auf jeder Maschine aus. Weitere Informationen finden Sie in den folgenden Themen:

Ersetzen von Lösungsbenutzerzertifikaten in Umgebungen mit mehreren vCenter Server-Systemen im erweiterten verknüpften Modus

Wenn Ihre Umgebung mehrere vCenter Server-Systeme im erweiterten verknüpften Modus umfasst, befolgen Sie diese Schritte zum Ersetzen von Lösungsbenutzerzertifikaten.

Hinweis: Wenn Sie Lösungsbenutzerzertifikate bei großen Bereitstellungen auflisten, enthält die Ausgabe von /usr/lib/vmware-vmafd/bin/dir-cli list alle Lösungsbenutzer aus allen Knoten. Führen Sie /usr/lib/vmware-vmafd/bin/vmafd-cli get-machine-id --server-name localhost aus, um für jeden Host nach der lokalen Maschinen-ID zu suchen. Jeder Lösungsbenutzername enthält die Maschinen-ID.
Verwenden des vSphere Certificate Manager zum Ersetzen von Maschinen-SSL-Zertifikaten auf vCenter Server-Systemen in ELM
vSphere Certificate Manager können Sie auf jeder Maschine ausführen. In Abhängigkeit von der ausgeführten Aufgabe werden Sie auch zur Eingabe der Zertifikatinformationen aufgefordert. Weitere Informationen hierzu finden Sie unter Verwalten von Zertifikaten mithilfe der vSphere Certificate Manager-Nutzung.
Verwenden der CLI zum manuellen Ersetzen von Maschinen-SSL-Zertifikaten auf vCenter Server-Systemen in ELM

Zu den allgemeinen Schritten zum manuellen Ersetzen von Maschinen-SSL-Zertifikaten auf vCenter Server in ELM gehören:

  1. Generieren oder Anfordern eines Zertifikats.

    Sie benötigen die folgenden Zertifikate:

    • Ein Zertifikat für den Lösungsbenutzer „machine“ auf jedem vCenter Server.
    • Ein Zertifikat für jeden der folgenden Lösungsbenutzer auf allen Knoten:
      • Lösungsbenutzer vpxd
      • Lösungsbenutzer vpxd-extension
      • Lösungsbenutzer vsphere-webclient
      • Lösungsbenutzer wcp
  2. Verwenden der CLI-Befehle, um die Zertifikate auf jedem Knoten.

    Die genaue Vorgehensweise hängt vom verwendeten Zertifikatsersetzungstyp ab. Weitere Informationen finden Sie in den folgenden Themen:

Zertifikatsersetzung in VMware-Umgebungen, die externe Lösungen enthalten

Bestimmte Lösungen, wie z. B. VMware vCenter Site Recovery Manager oder VMware vSphere Replication, werden immer auf einer anderen Maschine als das vCenter Server-System installiert. Beim Ersetzen des standardmäßigen Maschinen-SSL-Zertifikats auf dem vCenter Server-System, tritt ein Verbindungsfehler auf, wenn die Lösung versuchsweise eine Verbindung zum vCenter Server-System herstellt.

Sie können das Skript ls_update_certs ausführen, um das Problem zu beheben. Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2109074.