如何使用 vSphere Certificate Manager 替换 SSL 证书
Article ID: 322010
Updated On:
Products
VMware vCenter Server
Issue/Introduction
本文介绍了何时及如何在 vSphere 6.x 和 7.x 中使用 vSphere Certificate Manager。
使用 vSphere Certificate Manager:
vSphere Certificate Manager 可用于:- Implement Default Certificates
- Replace VMCA Certificate with a custom CA Certificate
- Replace all vSphere Certificates and Keys with custom CA Certificates and Keys
实施默认证书(使用选项 4 或 8):
- 未计划实施由企业 CA(如 Microsoft Windows CA)或商业 CA(Verisign、GoDaddy 等)签名的自定义 CA 证书时,可以使用此选项。
- 在此环境中,vSphere 证书由 VMCA 生成和颁发,并由 vSphere Endpoint Certificate Store (VECS) 存储。
- 默认情况下,这些证书在 vSphere 之外不受信任。
- 如果计算机 SSL 和解决方案用户证书已过期,请使用选项 8(重置证书)替换证书
将 VMCA 证书替换为自定义 CA 证书(使用选项 2):
- 在此环境中,将默认的 VMCA 证书和密钥替换为来自企业 CA(如 Microsoft Windows CA)或商业 CA(Verisign、GoDaddy 等)的自定义 CA 证书和密钥。
- 然后 VMCA 将用于生成新 vSphere 证书,这些证书将由以前导入的自定义 CA 证书和密钥签署。
- 由 VMCA 颁发的这些证书在 vSphere 之外受信任。
将所有 vSphere 证书和密钥替换为自定义 CA 证书和密钥(使用选项 5):
- 在此环境中,将计算机证书和所有的解决方案用户证书替换为由企业 CA(如 Microsoft Windows CA)或商业 CA(Verisign、GoDaddy 等)签名的自定义 CA 证书。
- VMCA 不负责颁发这些证书。
请注意,在 vSphere 7.x 中,可以通过 vCenter 用户界面执行步骤 1 和 2。
Symptoms:
免责声明: 本文为 How to use vSphere Certificate Manager to Replace SSL Certificates 的翻译版本。 尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。 有关最新内容,请参见英文版本。
Environment
VMware vCenter Server Appliance 6.7.x
VMware vCenter Server 6.5.x
VMware vCenter Server 7.0.x
VMware vCenter Server Appliance 6.5.x
VMware vCenter Server 6.7.x
VMware vCenter Server 6.5.x
VMware vCenter Server 7.0.x
VMware vCenter Server Appliance 6.5.x
VMware vCenter Server 6.7.x
Resolution
更新计算机 SSL 证书或生成证书签名请求的过程:
注意:在 vSphere vCenter 7.x 的用户界面中,可以通过以下方法更新计算机 SSL 证书或生成证书签名请求:转到- 菜单 > 系统管理 > 证书 > 证书管理。
有关详细信息,请参阅:Managing Certificates with the vSphere Client
注意:在 Windows 中,如果启用了用户访问控制,您必须以管理员身份登录或者“以管理员身份运行”。
要启动 vSphere Certificate Manager,请执行以下命令:
- vCenter Server(Windows 版本):C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
- vCenter Server Appliance:/usr/lib/vmware-vmca/bin/certificate-manager
选项详细信息:
| 选项编号 | 详细信息 | 所需信息 |
| 1 | 将计算机 SSL 证书替换为自定义 CA 证书 计算机 SSL 证书提供了一个子选项,用于为计算机 SSL 证书生成证书签名请求和密钥。 |
|
| 2 | 将 VMCA 根证书替换为自定义 CA 签名证书,并替换所有证书。 此选项提供了一个子选项,用于为 VMCA 根签名证书生成证书签名请求和密钥。 |
是否要将所有的解决方案用户证书替换为自定义 CA?
注意:稍后也可以使用选项 5 执行此步骤。
注意:稍后也可以使用选项 6 执行此步骤。 是否要将计算机 SSL 证书替换为自定义 CA?
注意:稍后也可以使用选项 1 执行此步骤。
注意:稍后也可以使用选项 3 执行此步骤。 |
| 3 | 将计算机 SSL 证书替换为 VMCA 生成的证书 |
|
| 4 | 重新生成新的默认 VMCA Root 证书,并替换所有证书 |
|
| 5 | 将解决方案用户证书替换为自定义 CA 证书 |
|
| 6 | 将解决方案用户证书替换为 VMCA 生成的证书 | |
| 7 | 通过重新发布旧证书恢复上次执行的操作 | |
| 8 | 重置所有证书 |
|
注意:Certool.cfg 位于:
- C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg
- 配置文件在 vCenter Server Appliance 和 Platform Services Controller 设备(外部 PSC)中的位置:
- vCenter Server Appliance:/usr/lib/vmware-vmca/share/config/certool.cfg
- 外部 Platform Services Controller 设备:/usr/lib/vmware-vmca/share/config/certool.cfg
Additional Information
- VMware Skyline Health Diagnostics for vSphere - FAQ
- 有关实施 CA 签名证书的详细信息,请参见:Replacing default certificates with CA signed SSL certificates in vSphere 6.0 (2111219)
- Using certool to generate CSRs that include multiple DNS names for one host
注意:当前,vCenter Server 仅与 VMCA 集成。vSphere Certificate Manager 和 VMCA 不能用于向任何其他产品颁发证书。
日志文件位置:
- vSphere Certificate Manager 将 certificate-manager.log 文件存储在以下位置:
- Windows vCenter Server 6.x:C:\ProgramData\VMware\vCenterServer\logs\vmca\certificate-manager.log
- vCenter Server Appliance 6.x/7.x:/var/log/vmware/vmcad/certificate-manager.log
- certool.cfg 文件位于:
C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg - vCenter Server Appliance 和 Platform Services Controller 设备中的配置文件位置:
- vCenter Server Appliance:/usr/lib/vmware-vmca/share/config/certool.cfg
- Platform Services Controller 设备:/usr/lib/vmware-vmca/share/config/certool.cfg
Feedback
Yes
No
Powered by
