您可以重新產生 VMCA 根憑證,並將本機機器 SSL 憑證和本機解決方案使用者憑證取代為 VMCA 簽署憑證。在多節點部署中,於 Platform Services Controller 上使用此選項執行 vSphere Certificate Manager,接著於所有其他節點上再次執行公用程式,並選取Replace Machine SSL certificate with VMCA Certificate Replace Solution user certificates with VMCA certificates

執行這項作業的原因和時機

將現有機器 SSL 憑證取代為新的 VMCA 簽署憑證時,vSphere Certificate Manager 會提示您輸入資訊並將所有值 (除了 Platform Services Controller 的密碼及 IP 位址) 輸入 certool.cfg 檔案。

  • administrator@vsphere.local 的密碼。

  • 兩個字母形式的國碼

  • 公司名稱

  • 組織名稱

  • 組織單位

  • 狀態

  • 位置

  • IP 位址 (選用)

  • 電子郵件

  • 主機名稱,即要進行憑證取代之機器的完整網域名稱。如果主機名稱與 FQDN 不相符,憑證取代就無法正確完成,而您的環境可能會最終處於不穩定狀態。

  • Platform Services Controller 的 IP 位址 (如果您是在管理節點上執行命令)

先決條件

當您使用此選項執行 vSphere Certificate Manager 時,必須瞭解以下資訊。

  • administrator@vsphere.local 的密碼。

  • 您希望產生新 VMCA 簽署憑證之機器的 FQDN。所有其他內容都會預設為預先定義的值,但您可以變更這些值。

程序

  1. 在內嵌式部署或 Platform Services Controller 上,啟動 vSphere Certificate Manager。
  2. 選取選項 4。
  3. 對提示做出回應。

    Certificate Manager 會根據您的輸入,產生新的 VMCA 根憑證,並取代您執行 Certificate Manager 所在系統上的所有憑證。如果使用內嵌式部署,則取代程序會在 Certificate Manager 重新啟動服務之後完成。

  4. 如果您的環境包含外部 Platform Services Controller,則必須取代每一個 vCenter Server 系統上的憑證。
    1. 登入 vCenter Server 系統。
    2. 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。

      Windows 和 vCenter Server Appliance 上的服務名稱並不相同。

      Windows

      service-control --stop --all
      service-control --start VMWareAfdService
      service-control --start VMWareDirectoryService
      service-control --start VMWareCertificateService
      

      vCenter Server Appliance

      service-control --stop --all
      service-control --start vmafdd
      service-control --start vmdird
      service-control --start vmcad
      
    3. 重新啟動所有服務。
      service-control --start --all
      
    4. 若要取代機器 SSL 憑證,請使用選項 3 Replace Machine SSL certificate with VMCA Certificate執行 vSphere Certificate Manager。
    5. 若要取代解決方案使用者憑證,請使用選項 6 Replace Solution user certificates with VMCA certificates執行 Certificate Manager。