對於核心的 vCenter 元件,您可以使用憑證自動化工具產生憑證要求,並將預設憑證取代為自我簽署或 CA 簽署的憑證。您還可以不使用此工具而從命令列產生要求、建立憑證並取代憑證。

資訊所在位置

您希望取代憑證的方式決定了資訊的所在位置。您可以透過多種方式執行憑證取代。

  • 如本文中所述,在 Windows 環境中使用憑證取代工具。

  • 如 VMware 知識庫文章 2058519 中所述,在 Windows 中明確取代憑證。

  • 如 VMware 知識庫文章 2057223 中所述,在 vCenter Server Appliance 上取代憑證。

如果希望使用 CA 簽署的憑證,則必須為每個元件產生一個憑證要求 (CSR)。您可以使用此工具產生 CSR。如需憑證需求清單,請參閱準備環境

憑證取代工具概觀

「憑證自動化工具」是一款命令列工具,可協助您取代下面列出之核心 vCenter 元件的憑證。大多數情況下,您是將預設憑證取代為自訂憑證。您可以在安裝完所有 vCenter 元件後使用此工具。如果在 vSphere 環境中新增了某個元件,可以再次使用此工具,對新元件執行憑證取代操作。在 vCenter Server 系統或 vCenter Single Sign-On 伺服器等 vCenter 元件上執行此工具時,它將執行以下工作。

  • 提示您提供所需輸入。

  • 驗證輸入 (x.509 憑證及 URL 格式)。

  • 更新元件的 SSL 憑證以及由該元件公開的服務對應的 LookupService 項目 (如有必要)。

  • 如有必要,重新啟動對應的服務。

  • 更新該元件對其已連線的所有其他元件的信任。如有必要,重新啟動該元件。

  • 必要時,向使用者提供後續步驟。

備註︰

透過此工具執行的憑證取代已經在 vCenter Single Sign-On、vCenter Inventory Service、vCenter Server、vSphere Web Client、vSphere Update Manager、vCenter 記錄瀏覽器和 vCenter Orchestrator 進行過測試。如果您需要對其他 vSphere 元件執行憑證取代,請參閱該產品的 VMware 說明文件或 VMware 知識庫中的指示。在此期間,您可能需要更新其中一個受支援元件上的憑證。

此工具支援以下 vCenter 元件:

  • vCenter Single Sign-On

  • vCenter Inventory Service

  • vCenter Server

  • vSphere Web Client

  • vSphere Update Manager

  • vCenter 記錄瀏覽器

  • vCenter Orchestrator

每個元件都必須具有一個 SSL 憑證和一個解決方案使用者憑證。大多數元件使用相同的憑證來實現這兩種目的。在 Windows 上,解決方案使用者憑證必須是唯一的,因此需要為每個元件提供一個唯一的 SSL 憑證。

升級

如果您已取代 vSphere 5.0 或 5.1 版中的預設憑證,然後升級到 vSphere 5.5 版,則憑證會移轉。如果您希望在升級過程中取代預設憑證,則可以在升級後執行「憑證自動化工具」。