包含多個管理節點及一或多個 Platform Services Controller 節點的部署中的憑證取代與內嵌式部署中的取代類似。在這兩種情況下,您都可以使用 vSphere 憑證管理公用程式,或以手動方式取代憑證。有一些最佳做法可引導您進行取代程序。

包含負載平衡器之高可用性環境中的憑證取代

在使用少於八個 vCenter Server 系統的環境中,VMware 通常建議使用單一 Platform Services Controller 執行個體與相關聯的 vCenter Single Sign-On 服務。在大型環境中,請考慮使用多個受網路負載平衡器保護的 Platform Services Controller 執行個體。VMware 網站上的白皮書《vCenter Server 6.0 部署指南》說明了此設定。

具有多個管理節點之環境中的機器 SSL 憑證取代

如果您的環境包含多個管理節點以及單一 Platform Services Controller,您可以使用 vSphere Certificate Manager 公用程式取代憑證,或使用 vSphere CLI 命令以手動方式取代。

vSphere Certificate Manager
在每台機器上執行 vSphere Certificate Manager。在管理節點上,系統會提示您輸入 Platform Services Controller 的 IP 位址。視您所執行的工作而定,系統也會提示您輸入憑證資訊。
手動憑證取代
對於手動憑證取代,您需要在每台機器上執行憑證取代命令。在管理節點上,您必須使用 --server 參數指定 Platform Services Controller。如需詳細資訊,請參閱下列主題:

在大型部署中,於憑證取代後,先重新啟動 Platform Services Controller,然後再重新啟動所有管理節點。

具有多個管理節點之環境中的解決方案使用者憑證取代

如果您的環境包含多個管理節點和單一 Platform Services Controller,請遵循下列步驟進行憑證取代。

備註: 當您列出大型部署中的解決方案使用者憑證時, dir-cli list 的輸出會包含所有節點上的所有解決方案使用者。請執行 vmafd-cli get-machine-id --server-name localhost 以找出每台主機的本機機器識別碼。每個解決方案使用者名稱都包含機器識別碼。
vSphere Certificate Manager
在每台機器上執行 vSphere Certificate Manager。在管理節點上,系統會提示您輸入 Platform Services Controller 的 IP 位址。視您所執行的工作而定,系統也會提示您輸入憑證資訊。
手動憑證取代
  1. 產生或要求憑證。您需要下列憑證:
    • Platform Services Controller 上機器解決方案使用者的憑證。
    • 每個管理節點上機器解決方案使用者的憑證。
    • 每個管理節點上的下列每個解決方案使用者的憑證:
      • vpxd solution 使用者
      • vpxd-extension 解決方案使用者
      • vsphere-webclient 解決方案使用者
  2. 取代每個節點上的憑證。確切程序會視您所執行的憑證取代類型而定。請參閱透過 vSphere Certificate Manager 公用程式管理憑證
如需詳細資訊,請參閱下列主題:

在大型部署中,於憑證取代後,先重新啟動 Platform Services Controller,然後再重新啟動所有管理節點。

包含外部解決方案之環境中的憑證取代

某些諸如 VMware vCenter Site Recovery Manager 或 VMware vSphere Replication 的解決方案一律會安裝在與 vCenter Server 系統或 Platform Services Controller 不同的機器上。如果您取代 vCenter Server 系統或 Platform Services Controller 上的預設機器 SSL 憑證,則當解決方案嘗試連線到 vCenter Server 系統時會產生連線錯誤。

您可以執行 ls_update_certs 指令碼來解決此問題。如需詳細資料,請參閱 VMware 知識庫文章 2109074