Generar un nuevo certificado raíz firmado por VMCA

Genere nuevos certificados firmados por VMCA con la CLI certool o la utilidad de vSphere Certificate Manager, y publique los certificados en vmdir.

En una implementación de varios nodos, los comandos para generar certificados raíz se ejecutan en Platform Services Controller.

Procedimiento

Genere un nuevo certificado autofirmado y una clave privada.

certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>

Reemplace el certificado raíz existente con el nuevo certificado.
```
certool --rootca --cert <cert_file_path> --privkey <key_file_path>
```
El comando genera el certificado, lo agrega a vmdir y, a continuación, lo agrega a VECS.
Detenga todos los servicios e inicie los servicios que se ocupan de la creación, de la propagación y del almacenamiento de certificados.
Los nombres de servicios en Windows no son los mismos que en vCenter Server Appliance.
Nota: Si el entorno utiliza una instancia externa de Platform Services Controller, no es necesario detener e iniciar VMware Directory Service (vmdird) ni VMware Certificate Authority (vmcad) en el nodo de vCenter Server. Estos servicios se ejecutan en Platform Services Controller.
Windows
```
service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
```
vCenter Server Appliance
```
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
```
(opcional) Publique el nuevo certificado raíz en vmdir.
```
dir-cli trustedcert publish --cert newRoot.crt
```
El comando actualiza todas las instancias de vmdir de manera inmediata. Si no lo ejecuta, la propagación del nuevo certificado a todos los nodos puede tardar un poco.
Reinicie todos los servicios.
```
service-control --start --all
```

Ejemplo: Generar un nuevo certificado raíz firmado por VMCA

El siguiente ejemplo muestra todos los pasos para comprobar la información de la entidad de certificación raíz actual y volver a generar el certificado raíz.

(Opcional) Enumere el certificado raíz de VMCA para asegurarse de que se encuentre en el almacén de certificados.

En una instalación integrada o un nodo de Platform Services Controller:
```
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
```

En un nodo de administración (instalación externa):

C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>

La salida se parece a esto:

output:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
    ...

(Opcional) Enumere el almacén TRUSTED_ROOTS de VECS y compare el número de serie del certificado con la salida del paso 1.
Este comando funciona tanto en nodos de Platform Services Controller como de administración, ya que VECS sondea vmdir.
```
"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
```
En el caso más simple con un solo certificado raíz, la salida se parece a esto:
```
Number of entries in store :    1
Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
Entry type :    Trusted Cert
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
```
Genere un nuevo certificado raíz de VMCA. El comando agrega el certificado al almacén TRUSTED_ROOTS en VECS y en vmdir (VMware Directory Service).
```
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"
```
En Windows, --config es opcional porque el comando usa el archivo predeterminado certool.cfg.