包含多個管理節點及一或多個Platform Services Controller節點的部署中的憑證取代與內嵌式部署中的取代類似。在這兩種情況下,您都可以使用 vSphere 憑證管理公用程式,或以手動方式取代憑證。有一些最佳做法可引導您進行取代程序。

包含負載平衡器之高可用性環境中的憑證取代

在使用少於八個 vCenter Server系統的環境中,通常部署單一 Platform Services Controller 執行個體與相關聯的vCenter Single Sign-On 服務。在大型環境中,請考慮使用多個受網路負載平衡器保護的Platform Services Controller執行個體。VMware 網站上的白皮書《vCenter Server 6.0 部署指南》說明了此設定。

具有多個管理節點之環境中的機器 SSL 憑證取代

如果您的環境包含多個管理節點以及單一 Platform Services Controller,您可以使用 vSphere Client 或 vSphere Certificate Manager 公用程式取代憑證,或使用 vSphere CLI 命令手動取代。

vSphere Certificate Manager
在每台機器上執行 vSphere Certificate Manager。在管理節點上,系統會提示您輸入 Platform Services Controller的 IP 位址。視您所執行的工作而定,系統也會提示您輸入憑證資訊。
手動憑證取代
對於手動憑證取代,您需要在每台機器上執行憑證取代命令。在管理節點上,您必須使用 --server參數指定 Platform Services Controller。如需詳細資訊,請參閱下列主題:

在大型部署中,於憑證取代後,先重新啟動 Platform Services Controller,然後再重新啟動所有管理節點。

具有多個管理節點之環境中的解決方案使用者憑證取代

如果您的環境包含多個管理節點和單一 Platform Services Controller,請遵循下列步驟進行憑證取代。

備註: 當您列出大型部署中的解決方案使用者憑證時, dir-cli list 的輸出會包含所有節點上的所有解決方案使用者。請執行 vmafd-cli get-machine-id --server-name localhost 以找出每台主機的本機機器識別碼。每個解決方案使用者名稱都包含機器識別碼。
vSphere Certificate Manager
在每台機器上執行 vSphere Certificate Manager。在管理節點上,系統會提示您輸入 Platform Services Controller的 IP 位址。視您所執行的工作而定,系統也會提示您輸入憑證資訊。
手動憑證取代
  1. 產生或要求憑證。您需要下列憑證:
    • Platform Services Controller上機器解決方案使用者的憑證。
    • 每個管理節點上機器解決方案使用者的憑證。
    • 每個管理節點上的下列每個解決方案使用者的憑證:
      • vpxd solution使用者
      • vpxd-extension解決方案使用者
      • vsphere-webclient解決方案使用者
  2. 取代每個節點上的憑證。確切程序會視您所執行的憑證取代類型而定。請參閱透過 vSphere Certificate Manager 公用程式管理憑證
如需詳細資訊,請參閱下列主題:

在大型部署中,於憑證取代後,先重新啟動 Platform Services Controller,然後再重新啟動所有管理節點。

包含外部解決方案之環境中的憑證取代

某些諸如 VMware vCenter Site Recovery Manager 或 VMware vSphere Replication 的解決方案一律會安裝在與 vCenter Server系統或Platform Services Controller 不同的機器上。如果您取代 vCenter Server系統或 Platform Services Controller 上的預設機器 SSL 憑證,則當解決方案嘗試連線到 vCenter Server 系統時會產生連線錯誤。

您可以執行ls_update_certs指令碼來解決此問題。如需詳細資料,請參閱 VMware 知識庫文章,網址為 http://kb.vmware.com/kb/2109074