Vous générez de nouveaux certificats signés par VMCA avec l'interface de ligne de commande certool ou l'utilitaire vSphere Certificate Manager, et publiez les certificats dans vmdir.

Procédure

  1. Dans vCenter Server, générez un nouveau certificat auto-signé et une clé privée. 
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. Remplacez le certificat racine existant par le nouveau certificat. 
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>
    La commande génère le certificat et l'ajoute à vmdir, puis à VECS.
  3. Arrêtez tous les services et démarrez ceux qui gèrent la création, la propagation et le stockage des certificats. 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  4. (Facultatif) Publiez le nouveau certificat racine dans vmdir. 
    dir-cli trustedcert publish --cert newRoot.crt
    La commande met à jour toutes les instances de vmdir immédiatement. Si vous n'exécutez pas la commande, la propagation du nouveau certificat dans tous les nœuds peut prendre un certain temps.
  5. Redémarrez tous les services. 
    service-control --start --all

Exemple : Générer un nouveau certificat racine signé par VMCA

L'exemple suivant montre toutes les étapes nécessaires à la vérification des informations de l'autorité de certification racine actuelle et à la régénération du certificat racine.
  1. (Facultatif) Dans vCenter Server, affichez le certificat racine VMCA pour vous assurer qu'il se trouve dans le magasin de certificats. 
    /usr/lib/vmware-vmca/bin/certool --getrootca
    Le résultat est semblable à ce qui suit : 
    output:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
    ...
  2. (Facultatif) Affichez le magasin VECS TRUSTED_ROOTS et comparez le numéro de série du certificat qui s'y trouve au résultat de l'étape 1.
    /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS --text
    Dans le cas le plus simple avec un seul certificat racine, le résultat est semblable à ce qui suit : 
    Number of entries in store :    1
Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
Entry type :    Trusted Cert
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
  3. Générez un nouveau certificat racine VMCA. La commande ajoute le certificat au magasin TRUSTED_ROOTS dans VECS et dans vmdir (Vmware Directory Service). 
    /usr/lib/vmware-vmca/bin/certool --selfca --config=/usr/lib/vmware-vmca/share/config/certool.cfg