如果 VMCA 根憑證將於近期到期,或您基於其他理由希望取代該憑證,您可以產生新的根憑證,並將其新增到 VMware 目錄服務中。接著,您可以使用新的根憑證,產生新的機器 SSL 憑證和解決方案使用者憑證。 在大部分情況下,您可以使用 vSphere Certificate Manager 公用程式取代憑證。 如果您需要進行更為精細的控制,此案例提供了使用 CLI 命令取代一組完整憑證的詳細逐步指示。您也可以使用對應工作中的程序,僅取代個別憑證。 必要條件 只有 [email protected] 或 CAAdmins 群組中的其他使用者能夠執行憑證管理工作。請參閱 向 vCenter Single Sign-On 群組新增成員。 程序 產生新的 VMCA 簽署根憑證 您使用 certool CLI 或 vSphere Certificate Manager 公用程式產生新的 VMCA 簽署憑證並將此憑證發佈到 vmdir。 用 VMCA 簽署憑證取代機器 SSL 憑證 產生新的 VMCA 簽署根憑證後,您可以取代環境中的所有機器 SSL 憑證。 用新的 VMCA 簽署憑證取代解決方案使用者憑證取代機器 SSL 憑證後,您可以取代所有解決方案使用者憑證。解決方案使用者憑證必須有效 (即並未到期),但憑證基礎結構並不會使用憑證中的任何其他資訊。 在混合模式環境中取代 VMware Directory Service 憑證 在升級期間,您的環境可能會暫時同時包含 vCenter Single Sign-On 5.5 版本和 vCenter Single Sign-On 6.x 版本。這種情況下,如果您取代 vCenter Single Sign-On 服務執行所在節點的 SSL 憑證,必須執行額外步驟以取代 VMware Directory Service SSL 憑證。 上層主題: 手動憑證取代
