您使用 certool CLI 或 vSphere Certificate Manager 公用程式產生新的 VMCA 簽署憑證並將此憑證發佈到 vmdir。

執行這項作業的原因和時機

在多節點部署中,您需要在 Platform Services Controller 上執行根憑證產生命令。

程序

  1. 產生新的自我簽署憑證和私密金鑰。
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. 將現有根憑證取代為新的憑證。
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>

    命令會產生憑證、將憑證新增至 vmdir 及 VECS。

  3. 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。

    Windows 和 vCenter Server Appliance上的服務名稱並不相同。

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. (選擇性) ︰ 將新的根憑證發佈到 vmdir。
    dir-cli trustedcert publish --cert newRoot.crt
    

    此命令立即更新 vmdir 的所有執行個體。如果您不執行此命令,則將新憑證傳播至所有節點可能需要花些時間。

  5. 重新啟動所有服務。
    service-control --start --all
    

產生新的 VMCA 簽署根憑證

下列範例會顯示確認目前根 CA 資訊以及重新產生根憑證的所有步驟。

  1. (選用) 列出 VMCA 根憑證以確定其位於憑證存放區。

    • Platform Services Controller 節點或內嵌式安裝中:

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
    • 在管理節點 (外部安裝) 上:

      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>

    輸出會類似下列內容:

    output:
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af
        ...
    

  2. (選用) 列出 VECS TRUSTED_ROOTS 存放區並比較此處憑證序號與步驟 1 的輸出內容。

    此命令在 Platform Services Controller 節點和管理節點上皆可執行,因為 VECS 會輪詢 vmdir。

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
    

    在只有一個根憑證的最單純情況下,輸出會類似下列內容:

    Number of entries in store :    1
    Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
    Entry type :    Trusted Cert
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                cf:2d:ff:49:88:50:e5:af

  3. 產生新的 VMCA 根憑證。此命令會將憑證新增到 VECS 中的 TRUSTED_ROOTS 存放區以及 vmdir (VMware Directory Service)。

    C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"

    在 Windows 上,--config 為選用選項,因為該命令使用預設的 certool.cfg 檔案。