您可以使用 vSphere Certificate Manager 產生 CSR 並將其傳送至企業或第三方 CA 進行簽署。然後,您可以將 VMCA 根憑證取代為自訂簽署憑證,並將所有現有的憑證取代為自訂 CA 所簽署的憑證。

執行這項作業的原因和時機

您可以在內嵌式安裝或外部 Platform Services Controller 上執行 vSphere Certificate Manager,將 VMCA 根憑證取代為自訂簽署憑證。

先決條件

  • 產生憑證鏈結。

  • 收集所需的資訊。

    • administrator@vsphere.local 的密碼。

    • 有效的自訂根憑證 (.crt 檔案)。

    • 有效的自訂根使用者金鑰 (.key 檔案)。

程序

  1. 在內嵌式安裝或外部 Platform Services Controller 上啟動 vSphere Certificate Manager,然後選取選項 2。
  2. 再次選取選項 2 以啟動憑證取代並回應提示。
    1. 出現提示時,指定根憑證的完整路徑。
    2. 如果是第一次取代憑證,系統會提示您輸入用於機器 SSL 憑證的資訊。

      此資訊包含所需的機器 FQDN 並儲存於 certool.cfg 檔案中。

  3. 如果您在多節點部署中取代 Platform Services Controller 上的根憑證,請針對每一個 vCenter Server 節點執行下列步驟。
    1. 重新啟動 vCenter Server 節點上的服務。
    2. 使用選項 3 (Replace Machine SSL certificate with VMCA Certificate) 和 6 (Replace Solution user certificates with VMCA certificates),在 vCenter Server 執行個體上重新產生所有憑證。

    當您取代憑證時,VMCA 會以完整鏈結簽署。

下一步

如果要從 vSphere 5.x 環境升級,您可能必須取代 vmdir 內的 vCenter Single Sign-On 憑證。請參閱在混合模式環境中取代 VMware Directory Service 憑證