Vous pouvez régénérer le certificat racine VMCA et remplacer le certificat SSL de la machine locale, ainsi que les certificats d'utilisateur de la solution locale par des certificats signés par VMCA. Dans les déploiements à nœuds multiples, exécutez vSphere Certificate Manager avec cette option sur Platform Services Controller, réexécutez ensuite l'utilitaire sur tous les autres nœuds et sélectionnez Replace Machine SSL certificate with VMCA Certificate et Replace Solution user certificates with VMCA certificates.

Pourquoi et quand exécuter cette tâche

Lorsque vous remplacez le certificat SSL machine existant par un nouveau certificat signé par VMCA, vSphere Certificate Manager vous invite à fournir des informations et à entrer toutes les valeurs, à l'exception du mot passe et de l'adresse IP de Platform Services Controller, dans le fichier certool.cfg.

  • Mot de passe pour administrator@vsphere.local.

  • Code pays à deux lettres

  • Nom de la société

  • Nom de l'organisation

  • Unité d'organisation

  • État

  • Ville

  • adresse IP (facultatif)

  • E-mail

  • Nom de l'hôte, à savoir le nom de domaine complet de la machine dont vous souhaitez remplacer le certificat. Si le nom de l'hôte ne correspond pas au nom de domaine complet, le remplacement du certificat ne se fait pas correctement et votre environnement risque de devenir instable.

  • Adresse IP du Platform Services Controller si vous exécutez la commande sur un nœud de gestion

Préambules

Vous devez disposer des informations suivantes lorsque vous exécutez vSphere Certificate Manager avec cette option.

  • Mot de passe pour administrator@vsphere.local.

  • Nom de domaine complet de la machine pour laquelle vous souhaitez générer un nouveau certificat signé par VMCA. Toutes les autres propriétés sont configurées par défaut sur les valeurs prédéfinies mais peuvent être modifiées.

Procédure

  1. Démarrez vSphere Certificate Manager sur un déploiement intégré ou sur une instance de Platform Services Controller.
  2. Sélectionnez l'option 4.
  3. Répondez aux invites.

    Certificate Manager génère un nouveau certificat racine VMCA basé sur votre entrée et remplace tous les certificats sur le système où vous exécutez Certificate Manager. Si vous utilisez un déploiement intégré, le processus de remplacement est terminé après que Certificate Manager a redémarré les services.

  4. Si votre environnement inclut une instance externe de Platform Services Controller, vous devez remplacer les certificats sur chaque système vCenter Server.
    1. Connectez-vous au système vCenter Server.
    2. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.

      Les noms de service diffèrent sur Windows et pour le vCenter Server Appliance.

      Windows

      service-control --stop --all
      service-control --start VMWareAfdService
      service-control --start VMWareDirectoryService
      service-control --start VMWareCertificateService
      

      vCenter Server Appliance

      service-control --stop --all
      service-control --start vmafdd
      service-control --start vmdird
      service-control --start vmcad
      
    3. Redémarrez tous les services.
      service-control --start --all
      
    4. Pour remplacer le certificat SSL de la machine, exécutez vSphere Certificate Manager avec l'option 3, Replace Machine SSL certificate with VMCA Certificate.
    5. Pour remplacer les certificats d'utilisateurs de solutions, exécutez Certificate Manager avec l'option 6, Replace Solution user certificates with VMCA certificates.