您可以遵循 Certificate Manager 公用程式中的提示,使 VMCA 成為中繼 CA。完成此程序後,VMCA 會簽署所有具有完整鏈結的新憑證。如果需要,您可以使用 Certificate Manager 將所有現有憑證取代為新的 VMCA 簽署的憑證。
VMware 不建議將 VMCA 作為下層 (或中繼) 憑證授權機構。如果您選擇此選項,可能會遇到非常複雜的問題,且可能對安全性產生負面影響,並且增加不必要的運作風險。如需有關在 vSphere 環境中管理憑證的詳細資訊,請參閱標題為〈新產品逐步解說 - 混合 vSphere SSL 憑證取代〉的部落格文章,網址為:http://vmware.com/go/hybridvmca。
若要使 VMCA 成為中繼 CA,您必須多次執行 Certificate Manager。此工作流程提供一組用於取代機器 SSL 憑證的完整步驟。
- 若要產生 CSR,請選取選項 1,將機器 SSL 憑證取代為自訂憑證,然後執行選項 1。
您會從 CA 收到一個已簽署的憑證和一個根憑證。
- 合併 VMCA 根憑證和 CA 根憑證,然後儲存檔案。
- 選取選項 2,將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證。此程序會取代本機上的所有憑證。