取代具有大量 vCenter Server 主機之部署中的憑證時,可以使用 vSphere 憑證管理公用程式或使用 CLI 手動取代憑證。一些最佳做法可引導您完成所選程序。

取代具有多個 vCenter Server 系統之環境中的機器 SSL 憑證

如果您的環境包含多個 vCenter Server 系統,可以使用 vSphere Client 或 vSphere Certificate Manager 公用程式取代機器 SSL 憑證,或使用 CLI 命令手動取代。

使用 vSphere Certificate Manager 取代多個 vCenter Server 系統上的機器 SSL 憑證
在每台機器上執行 vSphere Certificate Manager。視您所執行的工作而定,系統也會提示您輸入憑證資訊。如需詳細資訊,請參閱下列主題:
使用 CLI 手動取代多個 vCenter Server 系統上的機器 SSL 憑證
對於手動憑證取代,您需要在每台機器上執行憑證取代 CLI 命令。如需詳細資訊,請參閱下列主題:

在具有多個處於增強型連結模式下的 vCenter Server 系統的環境中取代解決方案使用者憑證

如果您的環境包含多個處於增強型連結模式的 vCenter Server 系統,請按照以下步驟取代解決方案使用者憑證。

備註: 當您列出大型部署中的解決方案使用者憑證時, /usr/lib/vmware-vmafd/bin/dir-cli list 的輸出會包含所有節點上的所有解決方案使用者。請執行 /usr/lib/vmware-vmafd/bin/vmafd-cli get-machine-id --server-name localhost 以找出每台主機的本機機器識別碼。每個解決方案使用者名稱都包含機器識別碼。
使用 vSphere Certificate Manager 取代 ELM 中 vCenter Server 系統上的機器 SSL 憑證
在每台機器上執行 vSphere Certificate Manager。視您所執行的工作而定,系統也會提示您輸入憑證資訊。請參閱 使用 vSphere Certificate Manager 公用程式管理憑證
使用 CLI 手動取代 ELM 中 vCenter Server 系統上的機器 SSL 憑證

在 ELM 中的 vCenter Server 上手動取代機器 SSL 憑證的高層級步驟包括:

  1. 產生或要求憑證。

    您需要下列憑證:

    • 每個 vCenter Server 上機器解決方案使用者的憑證。
    • 每個節點上的下列每個解決方案使用者的憑證:
      • vpxd 解決方案使用者
      • vpxd-extension 解決方案使用者
      • vsphere-webclient 解決方案使用者
      • wcp 解決方案使用者
  2. 使用 CLI 命令取代每個節點上的憑證。

    確切程序會視您所執行的憑證取代類型而定。如需詳細資訊,請參閱下列主題:

包含外部解決方案之 VMware 環境中的憑證取代

某些諸如 VMware vCenter Site Recovery Manager 或 VMware vSphere Replication 的解決方案一律會安裝在與 vCenter Server 系統不同的機器上。如果您取代 vCenter Server 系統上的預設機器 SSL 憑證,則當解決方案嘗試連線到 vCenter Server 系統時會產生連線錯誤。

您可以執行 ls_update_certs 指令碼來解決此問題。請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/2109074