在升級期間,您的環境可能會暫時同時包含 vCenter Single Sign-On 5.5 版本和 vCenter Single Sign-On 6.x 版本。這種情況下,如果您取代 vCenter Single Sign-On 服務執行所在節點的 SSL 憑證,必須執行額外步驟以取代 VMware Directory Service SSL 憑證。

執行這項作業的原因和時機

vmdir 會使用 VMware Directory Service SSL 憑證,在執行 vCenter Single Sign-On 複寫的 Platform Services Controller 節點之間進行信號交換。

包含 vSphere 6.0 和 vSphere 6.5 節點的混合模式環境無需這些步驟。只有在下列情況中才需要進行這些步驟:

  • 您的環境同時包含 vCenter Single Sign-On 5.5 和 vCenter Single Sign-On 6.x 服務。

  • vCenter Single Sign-On 服務已設定為複寫 vmdir 資料。

  • 您計劃在執行 vCenter Single Sign-On 6.x 服務的節點上將預設的 VMCA 簽署憑證取代為自訂憑證。

備註︰

最佳做法為,在重新啟動服務前升級整個環境。一般不建議取代 VMware Directory Service 憑證。

程序

  1. 在執行 vCenter Single Sign-On 6.x 服務的節點上,取代 vmdird SSL 憑證和金鑰。
  2. 在執行 vCenter Single Sign-On 5.5 服務的節點上進行環境設定,使 vCenter Single Sign-On 6.x 服務成為已知服務。
    1. 備份 C:\ProgramData\VMware\CIS\cfg\vmdird 中的所有檔案。
    2. 在 6.x 節點上建立 vmdircert.pem 檔案的複本,並將其重新命名為 <sso_node2.domain.com>.pem,其中 <sso_node2.domain.com> 是 6.x 節點的 FQDN。
    3. 將重新命名後的憑證複製到 C:\ProgramData\VMware\CIS\cfg\vmdird,以取代現有的複寫憑證。
  3. 在所有已取代憑證的機器上重新啟動 VMware Directory Service。

    您可以從 vSphere Web Client 或使用 service-control 命令重新啟動服務。