Générer un nouveau certificat racine signé par VMCA

Vous générez de nouveaux certificats signés par VMCA avec l'interface de ligne de commande certool ou l'utilitaire vSphere Certificate Manager, et publiez les certificats dans vmdir.

Dans un déploiement à plusieurs nœuds, vous exécutez des commandes de génération de certificats racines sur Platform Services Controller.

Procédure

Générez un nouveau certificat auto-signé et une clé privée.

certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>

Remplacez le certificat racine existant par le nouveau certificat.
```
certool --rootca --cert <cert_file_path> --privkey <key_file_path>
```
La commande génère le certificat et l'ajoute à vmdir, puis à VECS.
Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats.
Les noms de service diffèrent sur Windows et pour le vCenter Server Appliance.
Note : Si votre environnement utilise une instance externe de Platform Services Controller, vous n'avez pas à arrêter et démarrer les services VMware Directory Service (vmdird) et VMware Certificate Authority (vmcad) sur le nœud vCenter Server. Ces services s'exécutent sur Platform Services Controller.
Windows
```
service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
```
vCenter Server Appliance
```
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
```
(Facultatif) Publiez le nouveau certificat racine dans vmdir.
```
dir-cli trustedcert publish --cert newRoot.crt
```
La commande met à jour toutes les instances de vmdir immédiatement. Si vous n'exécutez pas la commande, la propagation du nouveau certificat dans tous les nœuds peut prendre un certain temps.
Redémarrez tous les services.
```
service-control --start --all
```

Exemple : Générer un nouveau certificat racine signé par VMCA

L'exemple suivant montre toutes les étapes nécessaires à la vérification des informations de l'autorité de certification racine actuelle et à la régénération du certificat racine.

(Facultatif) Affichez le certificat racine VMCA pour vous assurer qu'il se trouve dans le magasin de certificats.

Sur un nœud Platform Services Controller ou une installation intégrée :
```
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
```

Sur un nœud de gestion (installation externe) :

C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>

Le résultat est semblable à ce qui suit :

output:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
    ...

(Facultatif) Affichez le magasin VECS TRUSTED_ROOTS et comparez le numéro de série du certificat qui s'y trouve au résultat de l'étape 1.
Cette commande fonctionne sur les nœuds Platform Services Controller et sur les nœuds de gestion, car VECS interroge vmdir.
```
"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
```
Dans le cas le plus simple avec un seul certificat racine, le résultat est semblable à ce qui suit :
```
Number of entries in store :    1
Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
Entry type :    Trusted Cert
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
```
Générez un nouveau certificat racine VMCA. La commande ajoute le certificat au magasin TRUSTED_ROOTS dans VECS et dans vmdir (Vmware Directory Service).
```
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"
```
Sous Windows, --config est facultatif, car la commande utilise le fichier certool.cfg par défaut.