您可以重新產生 VMCA 根憑證,並將本機機器 SSL 憑證和本機解決方案使用者憑證取代為 VMCA 簽署憑證。在多節點部署中,於 Platform Services Controller 上使用此選項執行 vSphere Certificate Manager,接著於所有其他節點上再次執行公用程式,並選取Replace Machine SSL certificate with VMCA Certificate和Replace Solution user certificates with VMCA certificates。
將現有機器 SSL 憑證取代為新的 VMCA 簽署憑證時,vSphere Certificate Manager 會提示您輸入資訊並將所有值 (除了 Platform Services Controller的密碼及 IP 位址) 輸入 certool.cfg 檔案。
- [email protected] 的密碼。
- 兩個字母形式的國碼
- 公司名稱
- 組織名稱
- 組織單位
- 狀態
- 位置
- IP 位址 (選用)
- 電子郵件
- 主機名稱,即要進行憑證取代之機器的完整網域名稱。如果主機名稱與 FQDN 不相符,憑證取代就無法正確完成,而您的環境可能會最終處於不穩定狀態。
- Platform Services Controller 的 IP 位址 (如果您是在管理節點上執行命令)。
- VMCA 名稱,即執行憑證組態之機器的完整網域名稱。
必要條件
當您使用此選項執行 vSphere Certificate Manager 時,必須瞭解以下資訊。
程序
- 登入內嵌式部署或 Platform Services Controller 上的 vCenter Server,然後啟動 vSphere Certificate Manager。
| 作業系統 |
命令 |
| Linux |
/usr/lib/vmware-vmca/bin/certificate-manager |
| Windows |
C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager.bat |
- 選取選項 4,Regenerate a new VMCA Root Certificate and replace all certificates。
- 對提示做出回應。
Certificate Manager 會根據您的輸入,產生新的 VMCA 根憑證,並取代您執行 Certificate Manager 所在系統上的所有憑證。如果使用內嵌式部署,則取代程序會在 Certificate Manager 重新啟動服務之後完成。
- 如果您的環境包含外部 Platform Services Controller,則必須取代每一個 vCenter Server 系統上的憑證。
- 登入 vCenter Server 系統。
- 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。
Windows 和
vCenter Server Appliance 上的服務名稱並不相同。
-
Windows
-
service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
-
vCenter Server Appliance
-
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- 重新啟動所有服務。
service-control --start --all
- 若要取代機器 SSL 憑證,請使用選項 3 Replace Machine SSL certificate with VMCA Certificate執行 vSphere Certificate Manager。
- 若要取代解決方案使用者憑證,請使用選項 6 Replace Solution user certificates with VMCA certificates執行 Certificate Manager。
