將機器 SSL 憑證取代為自訂憑證

收到自訂憑證後，您可以取代每個機器憑證。

每台機器必須具有機器 SSL 憑證，以便與其他服務進行安全通訊。在多節點部署中，您必須在每個節點上執行機器 SSL 憑證產生命令。使用 --server 參數從含外部 Platform Services Controller 的 vCenter Server 指向 Platform Services Controller。

在開始取代憑證之前，您必須準備好下列資訊：

[email protected] 的密碼。
有效的機器 SSL 自訂憑證 (.crt 檔案)。
有效的機器 SSL 自訂金鑰 (.key 檔案)。
有效的自訂根憑證 (.crt 檔案)。
如果您在多節點部署中於含外部 Platform Services Controller 的 vCenter Server 上執行命令，需要 Platform Services Controller 的 IP 位址。

必要條件

您一定已收到第三方或企業 CA 核發給每台機器的憑證。

金鑰大小：2048 位元或以上 (PEM 編碼)
CRT 格式
x509 第 3 版
SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
包含下列金鑰使用方法：數位簽章、金鑰編密

程序

停止所有服務，並啟動處理憑證建立、傳播和儲存的服務。
Windows 和 vCenter Server Appliance 上的服務名稱並不相同。
備註：如果您的環境使用外部 Platform Services Controller，則無需在 vCenter Server 節點上停止和啟動 VMware 目錄服務 (vmdird) 和 VMware Certificate Authority (vmcad)。這些服務將在 Platform Services Controller 上執行。
Windows
```
service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
```
vCenter Server Appliance
```
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
```

登入每個節點，並將從 CA 收到的新機器憑證新增到 VECS 中。

所有機器都需要使用本機憑證存放區中的新憑證，以透過 SSL 進行通訊。

vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path>
--key <key-file-path>

重新啟動所有服務。
```
service-control --start --all
```

範例：將機器 SSL 憑證取代為自訂憑證

此範例顯示如何在 Windows 安裝中使用自訂憑證取代機器 SSL 憑證。您可以在每個節點上以相同方式取代機器 SSL 憑證。

首先，刪除 VECS 中的現有憑證。

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT

接著，新增替代憑證。

"C:\Program Files\VMware\vCenter Server\vmafdd\"vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert E:\custom-certs\ms-ca\signed-ssl\custom-w1-vim-cat-dhcp-094.eng.vmware.com.crt --key E:\custom-certs\ms-ca\signed-ssl\custom-x3-vim-cat-dhcp-1128.vmware.com.priv

必要條件

程序

範例： 將機器 SSL 憑證取代為自訂憑證

範例：將機器 SSL 憑證取代為自訂憑證