在使用 VMCA 作為中繼 CA 的多節點部署中,您必須明確取代機器 SSL 憑證。先取代 Platform Services Controller 節點上的 VMCA 根憑證,然後取代 vCenter Server 節點上的憑證,以便使用完整鏈結簽署憑證。您亦可使用該選項來取代已損壞或即將到期的機器 SSL 憑證。

開始之前

  • 如果已在多節點部署中取代 VMCA 根憑證,請明確重新啟動所有 vCenter Server 節點。

  • 您必須瞭解以下資訊以使用此選項執行 Certificate Manager。

    • administrator@vsphere.local 的密碼。

    • 您希望產生新 VMCA 簽署憑證之機器的 FQDN。所有其他內容都會預設為預先定義的值,但您可以變更這些值。

    • 在含有外部 Platform Services ControllervCenter Server 系統上執行時,Platform Services Controller 的主機名稱或 IP 位址。

執行這項作業的原因和時機

將現有機器 SSL 憑證取代為新的 VMCA 簽署憑證時,vSphere Certificate Manager 會提示您輸入資訊並將所有值 (除了 Platform Services Controller 的密碼及 IP 位址) 輸入 certool.cfg 檔案。

  • administrator@vsphere.local 的密碼。

  • 兩個字母形式的國碼

  • 公司名稱

  • 組織名稱

  • 組織單位

  • 狀態

  • 位置

  • IP 位址 (選用)

  • 電子郵件

  • 主機名稱,即要進行憑證取代之機器的完整網域名稱。如果主機名稱與 FQDN 不相符,憑證取代就無法正確完成,而您的環境可能會最終處於不穩定狀態。

  • Platform Services Controller 的 IP 位址 (如果您是在管理節點上執行命令)

程序

  1. 啟動 vSphere Certificate Manager 並選取選項 3。
  2. 對提示做出回應。

    Certificate Manager 在 certool.cfg 檔案中儲存資訊。

結果

vSphere Certificate Manager 取代機器 SSL 憑證。