將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證

您可以使用 vSphere Certificate Manager 產生 CSR 並將其傳送至企業或第三方 CA 進行簽署。然後，您可以將 VMCA 根憑證取代為自訂簽署憑證，並將所有現有的憑證取代為自訂 CA 所簽署的憑證。

您可以在內嵌式安裝或外部 Platform Services Controller 上執行 vSphere Certificate Manager，將 VMCA 根憑證取代為自訂簽署憑證。

必要條件

產生憑證鏈結。
- 您可以使用 vSphere Certificate Manager 建立 CSR 或手動建立 CSR。
- 當您從第三方或企業 CA 收到已簽署的憑證後，將它與初始 VMCA 根憑證合併，以建立完整鏈結。
  如需憑證需求和憑證合併程序的相關資訊，請參閱使用 vSphere Certificate Manager 產生 CSR 並準備根憑證 (中繼 CA)。
收集所需的資訊。
- [email protected] 的密碼。
- 有效的自訂根憑證 (.crt 檔案)。
- 有效的自訂根使用者金鑰 (.key 檔案)。

在內嵌式安裝或外部 Platform Services Controller 上啟動 vSphere Certificate Manager，然後選取選項 2。
再次選取選項 2 以啟動憑證取代並回應提示。
1. 出現提示時，指定根憑證的完整路徑。
2. 如果是第一次取代憑證，系統會提示您輸入用於機器 SSL 憑證的資訊。
  此資訊包含所需的機器 FQDN 並儲存於 certool.cfg 檔案中。
如果您在多節點部署中取代 Platform Services Controller 上的根憑證，請針對每一個 vCenter Server 節點執行下列步驟。
1. 重新啟動 vCenter Server 節點上的服務。
2. 使用選項 3 (Replace Machine SSL certificate with VMCA Certificate) 和 6 (Replace Solution user certificates with VMCA certificates)，在 vCenter Server 執行個體上重新產生所有憑證。
當您取代憑證時，VMCA 會以完整鏈結簽署。

如果要從 vSphere 5.x 環境升級，您可能必須取代 vmdir 內的 vCenter Single Sign-On 憑證。請參閱在混合模式環境中取代 VMware Directory Service 憑證。