您可以使用由其他 CA 簽署的 VMCA 憑證,以便 VMCA 成為中繼 CA,然後,VMCA 產生的所有憑證都將包含完整鏈結。

您可透過使用 vSphere Certificate Manager 公用程式、CLI 或從 Platform Services Controller Web 介面執行此設定。

必要條件

  1. 產生 CSR。
  2. 編輯您接收的憑證,並將目前 VMCA 根憑證置於底部。

使用 vSphere Certificate Manager 產生 CSR 並準備根憑證 (中繼 CA) 說明了這兩個步驟。

程序

  1. 從網頁瀏覽器連線至 Platform Services Controller,網址為:https://psc_hostname_or_IP/psc
    在內嵌式部署中, Platform Services Controller 主機名稱或 IP 位址與 vCenter Server 主機名稱或 IP 位址相同。
  2. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 若要將現有憑證取代為鏈結的憑證,請遵循下列步驟:
    1. 在 [憑證] 下,按一下憑證授權機構,然後選取根憑證索引標籤。
    2. 按一下取代憑證
    3. 取代根憑證對話方塊中,按一下瀏覽並選取私密金鑰,然後再次按一下瀏覽並選取憑證,最後按一下確定
    接著,VMCA 會簽署其核發的所有憑證以及新鏈結的根憑證。
  4. 更新本機系統的機器 SSL 憑證。
    1. 在 [憑證] 下,按一下憑證管理,然後按一下機器憑證索引標籤。
    2. 選取憑證,按一下更新,然後在出現提示時回答
    VMCA 將用由新 CA 簽署的憑證取代機器 SSL 憑證。
  5. (選擇性) 更新本機系統的解決方案使用者憑證。
    1. 按一下解決方案使用者憑證索引標籤。
    2. 選取憑證並按一下更新來更新個別選取的憑證,或按一下全部更新來取代所有憑證並在出現提示時回答
    VMCA 將用由新 CA 簽署的憑證取代解決方案使用者憑證或所有解決方案使用者憑證。
  6. 如果您的環境包含外部 Platform Services Controller,則可以為每個 vCenter Server 系統更新憑證。
    1. 在 [憑證管理] 面板中按一下登出按鈕。
    2. 當系統提示時,指定 vCenter Server 系統的 IP 位址或 FQDN,以及 vCenter Server 管理員的使用者名稱和密碼。
      管理員必須能夠向 vCenter Single Sign-On 進行驗證。
    3. vCenter Server 上更新機器 SSL 憑證,並選擇性地更新每個解決方案使用者憑證。
    4. 如果您的環境中具有多個 vCenter Server 系統,請為每個系統重複以上程序。

下一步

重新啟動 Platform Services Controller 上的服務。您可以重新啟動 Platform Services Controller,也可以從命令列執行下列命令:

Windows

在 Windows 上,service-control 命令位於 VCENTER_INSTALL_PATH\bin

service-control --stop --all 
service-control --start VMWareAfdService 
service-control --start VMWareDirectoryService 
service-control --start VMWareCertificateService
vCenter Server Appliance 
service-control --stop --all
service-control --start vmafdd 
service-control --start vmdird 
service-control --start vmcad