book
Article ID: 341783
calendar_today
Updated On:
Issue/Introduction
本文介绍如何将 vSphere 6.0 解决方案用户证书替换为证书颁发机构 (CA) 签名的自定义证书。
注意:
- vSphere 6.0 解决方案用户使用 SSL 证书进行内部通信和端点注册。
- 如果您的 vCenter Server 具有嵌入式 Platform Services Controller (PSC),则将有四个解决方案用户证书:
- machine
- vpxd
- vpxd-extension
- vsphere-webclient
- 如果您的 vCenter Server 具有外部 Platform Services Controller,则如前所述,每个 vCenter Server 6.0 将有四个解决方案用户证书,同时每个外部 Platform Services Controller 都具有一个解决方案用户命名计算机。
Symptoms:
免责声明:本文为 How to replace the vSphere 6.0 Solution User certs with CA signed certs (2112278) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。
Environment
VMware vCenter Server Appliance 6.0.x
VMware vCenter Server 6.0.x
Resolution
如果尚未配置 Microsoft 证书颁发机构,请参见 Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0 (2112009)。
重要事项:
- 这些证书不是 VMCA 颁发的,而是由外部证书颁发机构颁发。
- 如果运行的是外部 Platform Services Controller,则必须重新启动外部 vCenter Server 6.0 上的服务,然后继续替换 vCenter Server 6.0 的解决方案用户证书。
要将 vSphere 6.0 解决方案用户替换为 CA 签名的自定义证书,请执行以下操作:
- 启动 vSphere 6.0 Certificate Manager:
vCenter Server 6.0 Appliance:
/usr/lib/vmware-vmca/bin/certificate-manager
Windows vCenter Server 6.0:
C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
- 选择选项 5(Replace Solution user certificates with Custom Certificates)。
- 出现提示时键入 [email protected] 密码。
- 选择选项 1(Generate Certificate Signing Request(s) and Key(s) for Solution User certificates)。
- 选择一个目录以保存证书签名请求和私有密钥。
注意:创建的文件具有这些名称。外部 PSC 仅生成:
- 向证书颁发机构提供上述 CSR 以生成解决方案用户证书,并将文件命名为 machine_name.cer, vpxd.cer, vpxd-extension.cer, vsphere-webclient.cer。有关详细信息,请参见 Obtaining vSphere certificates from a Microsoft Certificate Authority (2112014)。
注意:
- 返回 vSphere 6.0 Certificate Manager 并选择选项 1(Continue to importing Custom certificate(s) and key(s) for Solution User Certificates)。
- 提供步骤 5 中的每个证书和密钥的完整路径,包括颁发的 CA 证书Root64.cer的完整路径。
- machine.cer
- machine.key
- vpxd.cer
- vpxd.key
- vpxd-extension.cer
- vpxd-extension.key
- vsphere-webclient.cer
- vsphere-webclient.key
- Root64.cer
注意:如果您使用的是中间 CA 和根 CA 证书链,请参见知识库文章 Replacing certificates using vSphere 6.0 Certificate Manager fails at 0% with the error: Operation failed, performing automatic rollback (2111571)。
vCenter Server Appliance 示例:
Please provide valid custom certificate for solution user store :name
File : /tmp/ssl/name.cer
Please provide valid custom key for solution user store :name
File : /tmp/ssl/name.key
其中,<name>是步骤 8 中提到的一个证书。
Windows vCenter Server 示例:
Please provide valid custom certificate for solution user store :name
File : C:\ssl\name.cer
Please provide valid customkey for solution user store :name
File : C:\ssl\name.key
注意:
- 一个外部 Platform Services Controller 只需要替换一个解决方案用户证书。
- 对于 vSphere 6.0 Update 1 及更高版本,VAMI 接口还有 2 个其他证书。这些证书是:
vsphere-webclient.csr
vsphere-webclient.key
- 键入“是”(Y)确认请求,然后继续。
- 更新 ESX Agent Manager。
注意:如果更新失败,请参见知识库文章 After replacing the vCenter Server certificates in vSphere 6.0, the ESX Agent Manager solution user fails to log in (2112577) 解决此问题。