如何将 vSphere 6.0 解决方案用户证书替换为 CA 签名的证书
search cancel

如何将 vSphere 6.0 解决方案用户证书替换为 CA 签名的证书

book

Article ID: 341783

calendar_today

Updated On:

Products

VMware vCenter Server

Issue/Introduction

本文介绍如何将 vSphere 6.0 解决方案用户证书替换为证书颁发机构 (CA) 签名的自定义证书。

注意
  • vSphere 6.0 解决方案用户使用 SSL 证书进行内部通信和端点注册。
  • 如果您的 vCenter Server 具有嵌入式 Platform Services Controller (PSC),则将有四个解决方案用户证书:

    • machine
    • vpxd
    • vpxd-extension
    • vsphere-webclient

  • 如果您的 vCenter Server 具有外部 Platform Services Controller,则如前所述,每个 vCenter Server 6.0 将有四个解决方案用户证书,同时每个外部 Platform Services Controller 都具有一个解决方案用户命名计算机。


Symptoms:

免责声明:本文为 How to replace the vSphere 6.0 Solution User certs with CA signed certs (2112278) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。


Environment

VMware vCenter Server Appliance 6.0.x
VMware vCenter Server 6.0.x

Resolution

如果尚未配置 Microsoft 证书颁发机构,请参见 Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0 (2112009)

重要事项:
  • 这些证书不是 VMCA 颁发的,而是由外部证书颁发机构颁发。
  • 如果运行的是外部 Platform Services Controller,则必须重新启动外部 vCenter Server 6.0 上的服务,然后继续替换 vCenter Server 6.0 的解决方案用户证书。
要将 vSphere 6.0 解决方案用户替换为 CA 签名的自定义证书,请执行以下操作:
  1. 启动 vSphere 6.0 Certificate Manager:

    vCenter Server 6.0 Appliance:

    /usr/lib/vmware-vmca/bin/certificate-manager

    Windows vCenter Server 6.0:

    C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager

  2. 选择选项 5(Replace Solution user certificates with Custom Certificates)。

  3. 出现提示时键入 [email protected] 密码。

  4. 选择选项 1(Generate Certificate Signing Request(s) and Key(s) for Solution User certificates)。

  5. 选择一个目录以保存证书签名请求和私有密钥。

    注意:创建的文件具有这些名称。外部 PSC 仅生成:

    • machine.csr
    • machine.key

  6. 向证书颁发机构提供上述 CSR 以生成解决方案用户证书,并将文件命名为 machine_name.cer, vpxd.cer, vpxd-extension.cer, vsphere-webclient.cer。有关详细信息,请参见 Obtaining vSphere certificates from a Microsoft Certificate Authority (2112014)

    注意:

  7. 返回 vSphere 6.0 Certificate Manager 并选择选项 1(Continue to importing Custom certificate(s) and key(s) for Solution User Certificates)。

  8. 提供步骤 5 中的每个证书和密钥的完整路径,包括颁发的 CA 证书Root64.cer的完整路径。

    • machine.cer
    • machine.key
    • vpxd.cer
    • vpxd.key
    • vpxd-extension.cer
    • vpxd-extension.key
    • vsphere-webclient.cer
    • vsphere-webclient.key
    • Root64.cer

    注意:如果您使用的是中间 CA 和根 CA 证书链,请参见知识库文章 Replacing certificates using vSphere 6.0 Certificate Manager fails at 0% with the error: Operation failed, performing automatic rollback (2111571)

    vCenter Server Appliance 示例:

    Please provide valid custom certificate for solution user store :name
    File : /tmp/ssl/name.cer
    Please provide valid custom key for solution user store :name
    File : /tmp/ssl/name.key

    其中,<name>是步骤 8 中提到的一个证书。

    Windows vCenter Server 示例:

    Please provide valid custom certificate for solution user store :name
    File : C:\ssl\name.cer
    Please provide valid customkey for solution user store :name
    File : C:\ssl\name.key

    注意

    • 一个外部 Platform Services Controller 只需要替换一个解决方案用户证书。
    • 对于 vSphere 6.0 Update 1 及更高版本,VAMI 接口还有 2 个其他证书。这些证书是:

      vsphere-webclient.csr
      vsphere-webclient.key


  9. 键入“是”(Y)确认请求,然后继续。
  10. 更新 ESX Agent Manager。

    注意:如果更新失败,请参见知识库文章 After replacing the vCenter Server certificates in vSphere 6.0, the ESX Agent Manager solution user fails to log in (2112577) 解决此问题。


Additional Information

How to replace the vSphere 6.0 Solution User certs with CA signed certs