En règle générale, vous générez de nouveaux certificats uniquement si vous changez le nom de l'hôte ou supprimez accidentellement le certificat. Dans certaines circonstances, vous devrez forcer l'hôte à générer de nouveaux certificats.

Pourquoi et quand exécuter cette tâche

Remarque :

Pour bénéficier de tous les avantages du contrôle des certificats, notamment si vous prévoyez d'utiliser des connexions distantes chiffrées en externe, n'utilisez pas de certificats auto-signés. Installez plutôt de nouveaux certificats signés par une autorité de certification interne valide ou achetez un certificat auprès d'une autorité de sécurité de confiance.

Procédure

  1. Connectez-vous à ESXi Shell en tant qu'utilisateur ayant des privilèges d'administrateur.
  2. Dans l'inventaire /etc/vmware/ssl, sauvegardez tous les certificats existants en les renommant à l'aide des commandes suivantes :
    mv rui.crt orig.rui.crt
    mv rui.key orig.rui.key
    Remarque :

    Si vous régénérez des certificats parce que vous les avez supprimés, cette étape est inutile.

  3. Exécutez la commande /sbin/generate-certificates pour générer de nouveaux certificats.
  4. Redémarrez l'hôte.

    La génération des certificats les place à l'emplacement approprié. Vous pouvez également mettre l'hôte en mode de maintenance, installer le nouveau certificat, puis utiliser l'interface utilisateur de console directe (DCUI) pour redémarrer les agents de gestion.

  5. Vérifiez que l'hôte a réussi à générer les nouveaux certificats en utilisant la commande suivante et en comparant les horodatages des nouveaux fichiers de certificat à orig.rui.crt et orig.rui.key.
    ls -la

Que faire ensuite

Envisagez de remplacer le certificat auto-signé et la clé par un certificat et une clé approuvés.