您使用 certool CLI 或 vSphere Certificate Manager 公用程式產生新的 VMCA 簽署憑證並將此憑證發佈到 vmdir。

在多節點部署中,您需要在 Platform Services Controller 上執行根憑證產生命令。

程序

  1. 產生新的自我簽署憑證和私密金鑰。 
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. 將現有根憑證取代為新的憑證。 
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>
    命令會產生憑證、將憑證新增至 vmdir 及 VECS。
  3. 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。
    Windows 和 vCenter Server Appliance 上的服務名稱並不相同。
    備註: 如果您的環境使用外部 Platform Services Controller,則無需在 vCenter Server 節點上停止和啟動 VMware 目錄服務 (vmdird) 和 VMware Certificate Authority (vmcad)。這些服務將在 Platform Services Controller 上執行。
    Windows 
    service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
    vCenter Server Appliance 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  4. (選擇性) 將新的根憑證發佈到 vmdir。 
    dir-cli trustedcert publish --cert newRoot.crt
    此命令立即更新 vmdir 的所有執行個體。如果您不執行此命令,則將新憑證傳播至所有節點可能需要花些時間。
  5. 重新啟動所有服務。 
    service-control --start --all

範例: 產生新的 VMCA 簽署根憑證

下列範例會顯示確認目前根 CA 資訊以及重新產生根憑證的所有步驟。
  1. (選用) 列出 VMCA 根憑證以確定其位於憑證存放區。
    • Platform Services Controller 節點或內嵌式安裝中: 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca
    • 在管理節點 (外部安裝) 上: 
      C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --getrootca --server=<psc-ip-or-fqdn>
    輸出會類似下列內容: 
    output:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
    ...
  2. (選用) 列出 VECS TRUSTED_ROOTS 存放區並比較此處憑證序號與步驟 1 的輸出內容。

    此命令在 Platform Services Controller 節點和管理節點上皆可執行,因為 VECS 會輪詢 vmdir。 

    "C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry list --store TRUSTED_ROOTS  --text
    在只有一個根憑證的最單純情況下,輸出會類似下列內容: 
    Number of entries in store :    1
Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
Entry type :    Trusted Cert
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
  3. 產生新的 VMCA 根憑證。此命令會將憑證新增到 VECS 中的 TRUSTED_ROOTS 存放區以及 vmdir (VMware Directory Service)。 
    C:\>"C:\Program Files\VMware\vCenter Server\vmcad\"certool --selfca --config="C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg"

    在 Windows 上,--config 為選用選項,因為該命令使用預設的 certool.cfg 檔案。