許多公司僅要求您取代可從外部存取之服務的憑證。但 Certificate Manager 也支援取代解決方案使用者憑證。解決方案使用者是多種服務的集合,例如與 vSphere Web Client 相關聯的所有服務。在多節點部署中,取代 Platform Services Controller 上的機器解決方案使用者憑證,以及每個管理節點上的一組完整解決方案使用者。

執行這項作業的原因和時機

如果系統提示您使用解決方案使用者憑證,請提供第三方 CA 的完整簽署憑證鏈結。

格式應類似以下內容。

-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

先決條件

開始前,您需要環境中每台機器的 CSR。您可以使用 vSphere Certificate Manager 或明確地產生 CSR。

  1. 若要使用 vSphere Certificate Manager 產生 CSR,請參閱使用 vSphere Certificate Manager 產生憑證簽署要求 (自訂憑證)

  2. 向第三方或企業 CA 為每個節點上的每個解決方案使用者要求憑證。您可以使用 vSphere Certificate Manager 產生 CSR,也可以手動準備。CSR 必須符合以下需求:

    • 金鑰大小:2048 位元或以上 (PEM 編碼)

    • CRT 格式

    • x509 第 3 版

    • SubjectAltName 必須包含 DNS Name=<machine_FQDN>

    • 每個解決方案使用者憑證必須具有不同的Subject。例如,您可以考慮加入解決方案使用者名稱 (例如 vpxd) 或其他唯一識別碼。

    • 包含下列金鑰使用方法:數位簽章、不可否認性、金鑰編密

另請參閱 VMware 知識庫文章 2112014,從 Microsoft 憑證授權機構取得 vSphere 憑證

程序

  1. 啟動 vSphere Certificate Manager 並選取選項 5。
  2. 選取選項 2 以啟動憑證取代並回應提示。

    vSphere Certificate Manager 會提示您輸入下列資訊:

    • administrator@vsphere.local 的密碼。

    • 機器解決方案使用者的憑證與金鑰。

    • 如果您在 Platform Services Controller 節點上執行 vSphere Certificate Manager,系統會提示您提供機器解決方案使用者的憑證與金鑰 (vpxd.crtvpxd.key)。

    • 如果您在管理節點或內嵌式部署中執行 vSphere Certificate Manager,系統會提示您提供所有解決方案使用者的一組完整憑證與金鑰 (vpxd.crtvpxd.key)。

下一步

如果要從 vSphere 5.x 環境升級,您可能必須取代 vmdir 內的 vCenter Single Sign-On 憑證。請參閱在混合模式環境中取代 VMware Directory Service 憑證