許多公司僅要求您取代可從外部存取之服務的憑證。但 Certificate Manager 也支援取代解決方案使用者憑證。解決方案使用者是多種服務的集合,例如與 vSphere Web Client 相關聯的所有服務。在多節點部署中,取代 Platform Services Controller 上的機器解決方案使用者憑證,以及每個管理節點上的一組完整解決方案使用者。

開始之前

開始前,您需要環境中每台機器的 CSR。您可以使用 vSphere Certificate Manager 或明確地產生 CSR。

  1. 若要使用 vSphere Certificate Manager 產生 CSR,請參閱使用 vSphere Certificate Manager 產生憑證簽署要求 (自訂憑證)

  2. 向第三方或企業 CA 為每個節點上的每個解決方案使用者要求憑證。您可以使用 vSphere Certificate Manager 產生 CSR,也可以手動準備。CSR 必須符合以下需求:

    • 金鑰大小:2048 位元或以上 (PEM 編碼)

    • CRT 格式

    • x509 第 3 版

    • SubjectAltName 必須包含 DNS Name=<machine_FQDN>

    • 每個解決方案使用者憑證必須具有不同的Subject。例如,您可以考慮加入解決方案使用者名稱 (例如 vpxd) 或其他唯一識別碼。

    • 包含下列金鑰使用方法:數位簽章、不可否認性、金鑰編密

另請參閱 VMware 知識庫文章 2112014,從 Microsoft 憑證授權機構取得 vSphere 憑證

執行這項作業的原因和時機

如果系統提示您使用解決方案使用者憑證,請提供第三方 CA 的完整簽署憑證鏈結。

格式應類似以下內容。

-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

程序

  1. 啟動 vSphere Certificate Manager 並選取選項 5。
  2. 選取選項 2 以啟動憑證取代並回應提示。

    vSphere Certificate Manager 會提示您輸入下列資訊:

    • administrator@vsphere.local 的密碼。

    • 機器解決方案使用者的憑證與金鑰。

    • 如果您在 Platform Services Controller 節點上執行 vSphere Certificate Manager,系統會提示您提供機器解決方案使用者的憑證與金鑰 (vpxd.crtvpxd.key)。

    • 如果您在管理節點或內嵌式部署中執行 vSphere Certificate Manager,系統會提示您提供所有解決方案使用者的一組完整憑證與金鑰 (vpxd.crtvpxd.key)。

下一步

如果要從 vSphere 5.x 環境升級,您可能必須取代 vmdir 內的 vCenter Single Sign-On 憑證。請參閱在混合模式環境中取代 VMware Directory Service 憑證