Sie können mithilfe des vSphere Certificate Manager das VMCA-Rootzertifikat neu generieren und das lokale Maschinen-SSL-Zertifikat sowie die lokalen Lösungsbenutzerzertifikate durch VMCA-signierte Zertifikate ersetzen. Wenn mehrere vCenter Server-Instanzen in der Konfiguration des erweiterten verknüpften Modus verbunden sind, müssen Sie Zertifikate auf jedem vCenter Server ersetzen.

Wenn Sie das vorhandene Maschinen-SSL-Zertifikat durch ein neues VMCA-signiertes Zertifikat ersetzen, werden Sie von vSphere Certificate Manager zur Eingabe von Informationen aufgefordert. vSphere Certificate Manager gibt alle Werte mit Ausnahme des Kennworts und der IP-Adresse des vCenter Server in die Datei certool.cfg ein.

  • Kennwort für „[email protected]
  • Aus zwei Buchstaben bestehender Ländercode
  • Name des Unternehmens
  • Organisationsname
  • Organisationseinheit
  • Zustand
  • Ort
  • IP-Adresse (optional)
  • E-Mail
  • Hostname, d. h., der vollqualifizierte Domänenname der Maschine, für die Sie das Zertifikat ersetzen möchten. Wenn der Hostname nicht mit dem FQDN übereinstimmt, wird die Zertifikatsersetzung nicht ordnungsgemäß abgeschlossen und Ihre Umgebung weist möglicherweise einen instabilen Status auf.
  • IP-Adresse von vCenter Server.
  • VMCA-Name, der der vollqualifizierte Domänenname der Maschine ist, auf der die Zertifikatskonfiguration ausgeführt wird.
Hinweis: Das OU-Feld (organizationalUnitName) ist nicht mehr obligatorisch.

Voraussetzungen

Sie müssen die folgenden Informationen kennen, wenn Sie vSphere Certificate Manager mit dieser Option ausführen.

  • Kennwort für „[email protected]“.
  • Der FQDN der Maschine, für die Sie ein neues VMCA-signiertes Zertifikat generieren möchten. Für alle anderen Eigenschaften werden standardmäßig die vordefinierten Werte verwendet, die Sie jedoch ändern können.

Prozedur

  1. Melden Sie sich bei der vCenter Server-Shell an und starten Sie vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Wählen Sie Option 4 aus, generieren Sie ein neues VMCA-Rootzertifikat neu und ersetzen Sie alle Zertifikate.
  3. Geben Sie den Benutzernamen und das Kennwort für den Administrator ein.
  4. Beantworten Sie die Eingabeaufforderungen.
    vSphere Certificate Manager generiert ein neues VMCA-Rootzertifikat basierend auf Ihrer Eingabe und ersetzt alle Zertifikate auf dem System, auf dem Sie vSphere Certificate Manager ausführen. Der Ersetzungsvorgang ist abgeschlossen, nachdem vSphere Certificate Manager die Dienste neu gestartet hat.
  5. Um das Maschinen-SSL-Zertifikat zu ersetzen, führen Sie vSphere Certificate Manager mit Option 3 zum Ersetzen des Maschinen-SSL-Zertifikats durch ein VMCA-Zertifikat aus.
  6. Um die Lösungsbenutzerzertifikate zu ersetzen, führen Sie Certificate Manager mit Option 6 zum Ersetzen der Lösungsbenutzerzertifikate durch VMCA-Zertifikate aus.