您使用 certoolCLI 或 vSphere Certificate Manager 公用程式產生新的 VMCA 簽署憑證並將此憑證發佈到 vmdir。

程序

  1. vCenter Server上,產生新的自我簽署憑證和私密金鑰。 
    certool --genselfcacert --outprivkey <key_file_path> --outcert <cert_file_path> --config <config_file>
  2. 將現有根憑證取代為新的憑證。 
    certool --rootca --cert <cert_file_path> --privkey <key_file_path>
    命令會產生憑證、將憑證新增至 vmdir 及 VECS。
  3. 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  4. (選擇性) 將新的根憑證發佈到 vmdir。 
    dir-cli trustedcert publish --cert newRoot.crt
    此命令立即更新 vmdir 的所有執行個體。如果您不執行此命令,則將新憑證傳播至所有節點可能需要花些時間。
  5. 重新啟動所有服務。 
    service-control --start --all

範例: 產生新的 VMCA 簽署根憑證

下列範例會顯示確認目前根 CA 資訊以及重新產生根憑證的所有步驟。
  1. (選用) 在 vCenter Server上,列出 VMCA 根憑證以確定其位於憑證存放區。 
    /usr/lib/vmware-vmca/bin/certool --getrootca
    輸出會類似下列內容: 
    output:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
    ...
  2. (選用) 列出 VECS TRUSTED_ROOTS 存放區並比較此處憑證序號與步驟 1 的輸出內容。
    /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS --text
    在只有一個根憑證的最單純情況下,輸出會類似下列內容: 
    Number of entries in store :    1
Alias : 960d43f31eb95211ba3a2487ac840645a02894bd
Entry type :    Trusted Cert
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cf:2d:ff:49:88:50:e5:af
  3. 產生新的 VMCA 根憑證。此命令會將憑證新增到 VECS 中的 TRUSTED_ROOTS 存放區以及 vmdir (VMware Directory Service)。 
    /usr/lib/vmware-vmca/bin/certool --selfca --config=/usr/lib/vmware-vmca/share/config/certool.cfg