Quando si sostituiscono i certificati nelle distribuzioni con un elevato numero di host vCenter Server, è possibile usare l'utilità vSphere Certificate Manager o sostituire i certificati manualmente mediante le CLI. In entrambi i casi, è opportuno attenersi ad alcune procedure consigliate.

Sostituzione di certificati SSL delle macchine in ambienti con più sistemi vCenter Server

Se l'ambiente include più sistemi vCenter Server, è possibile sostituire i certificati SSL delle macchine con vSphere Client o con l'utilità vSphere Certificate Manager oppure manualmente con i comandi della CLI.

Utilizzo di vSphere Certificate Manager per sostituire i certificati SSL delle macchine in più sistemi vCenter Server
Eseguire vSphere Certificate Manager su ogni macchina. A seconda dell'attività da eseguire, potrebbero essere richieste anche delle informazioni sui certificati. Per maggiori dettagli, vedere i seguenti argomenti:
Utilizzo della CLI per sostituire manualmente i certificati SSL delle macchine in più sistemi vCenter Server
Per la sostituzione manuale del certificato, eseguire i comandi della CLI per la sostituzione del certificato in ogni macchina. Per maggiori dettagli, vedere i seguenti argomenti:

Sostituzione dei certificati utente della soluzione in ambienti con più sistemi vCenter Server in Modalità collegata avanzata.

Se l'ambiente include più sistemi vCenter Server in modalità collegata avanzata, eseguire i passaggi seguenti per la sostituzione dei certificati utente della soluzione.

Nota: Quando vengono elencati i certificati utente della soluzione nelle distribuzioni di grandi dimensioni, l'output di /usr/lib/vmware-vmafd/bin/dir-cli list include tutti gli utenti della soluzione di tutti i nodi. Eseguire /usr/lib/vmware-vmafd/bin/vmafd-cli get-machine-id --server-name localhost per trovare l'ID della macchina locale per ogni host. Ciascun nome utente della soluzione include l'ID della macchina.
Utilizzo di vSphere Certificate Manager per sostituire i certificati SSL delle macchine nei sistemi vCenter Server in ELM
Eseguire vSphere Certificate Manager su ogni macchina. A seconda dell'attività da eseguire, potrebbero essere richieste anche delle informazioni sui certificati. Vedere Gestione dei certificati tramite l'utilità vSphere Certificate Manager.
Utilizzo della CLI per sostituire manualmente i certificati SSL delle macchine nei sistemi vCenter Server in ELM

I passaggi generali per sostituire manualmente i certificati SSL delle macchine in vCenter Server in ELM includono:

  1. Generazione o richiesta di un certificato.

    Sono necessari i seguenti certificati:

    • Un certificato per l'utente della soluzione della macchina in ogni vCenter Server.
    • Un certificato per ciascuno dei seguenti utenti della soluzione in ciascun nodo:
      • Utente della soluzione vpxd
      • Utente della soluzione vpxd-extension
      • Utente della soluzione vsphere-webclient
      • Utente della soluzione wcp
  2. Utilizzo dei comandi CLI per sostituire i certificati in ogni nodo.

    Il processo preciso dipende dal tipo di sostituzione del certificato che si sta eseguendo. Per maggiori dettagli, vedere i seguenti argomenti:

Sostituzione di certificati in ambienti VMware che includono soluzioni esterne

Alcune soluzioni, come VMware vCenter Site Recovery Manager o VMware vSphere Replication, sono sempre installate su una macchina diversa da quella del sistema vCenter Server. Se si sostituisce il certificato SSL della macchina predefinita nel sistema vCenter Server, si verifica un errore di connessione se la soluzione tenta di connettersi al sistema vCenter Server.

Per risolvere il problema è possibile eseguire lo script ls_update_certs. Vedere l'articolo della Knowledge base di VMware all'indirizzo https://kb.vmware.com/s/article/2109074.