注意：本文是解决方法路径的组成部分。在执行本文中的步骤之前，请先参见 Implementing CA signed SSL certificates with vSphere 5.x (2034833)。

为 vSphere 创建 CA 分配的证书是一项复杂的任务。在许多组织中，需要维持适当的安全性以符合法规要求。成功实施这项任务需要执行几个不同的工作流：

• 创建证书请求
• 获取证书
• 在 vSphere Web Client 和 Log Browser 中安装和配置证书

您必须执行这些步骤，确保成功实施 vCenter Server 的自定义证书。在尝试执行这些步骤之前，请确保：

• 您有 vSphere 5.5 环境。
  
  注意：vCenter Server 5.5 Update 3e 不支持日志浏览器功能。有关详细信息，请参见 VMware vCenter Server 5.5 Update 3e Release Notes。
  
  
• 所有证书和对应的文件均已按照 Implementing CA signed SSL certificates with vSphere 5.x (2034833)生成。

为 vSphere Web Client 和日志浏览器安装和配置证书

1. 以管理员身份登录到 vSphere Web Client 服务器。
2. 如果您尚未导入证书，请双击C:\certs\Root64.cer文件，将证书导入到Trusted Root Certificate Authorities > Local ComputerWindows 证书存储中。这样可以确保证书服务器受信任。
3. 从服务控制管理器 (services.msc) 停止 VMware vSphere Web Client 服务。
4. 从服务控制管理器 (services.msc) 停止 VMware Log Browser 服务。
5. 备份 vSphere Web Client 的当前证书（rui.crt、rui.key和rui.pfx）。默认情况下，这些证书的位置如下：
   
   C:\ProgramData\VMware\vSphere Web Client\ssl\
   
   
6. 将新证书文件复制到此目录。如果遵循此解析路径，则这些证书位于C:\certs\WebClient中。
7. 备份日志浏览器的当前证书。默认情况下，这些证书的位置如下：
   
   C:\Program Files\VMware\Infrastructure\vSphereWebClient\logbrowser\conf
   
   
8. 将新证书文件（rui.crt、rui.key和rui.pfx）复制到此目录。如果遵循此解析路径，则这些证书位于C:\certs\logbrowser中。
9. 在命令提示符中运行以下命令：
   
   set JAVA_HOME=C:\Program Files\Common Files\VMware\VMware vCenter Server - Java Components
   
   
10. 导航到SsoRegTool目录。默认情况下，此目录位于以下位置：
    
    C:\Program Files\VMware\Infrastructure\vSphereWebClient\SsoRegTool\
    
    
11. 通过运行以下命令从 SSO 取消注册 vSphere Web Client 服务：
    
    注意：regTool.cmd文件中的unregisterService命令区分大小写。
    
    regTool.cmd unregisterService -si "Installation_Directory\vSphereWebClient\serviceId" -d https://SSOServer.domain.com:7444/lookupservice/sdk -u [email protected] -ppassword
    
    其中：
    • Installation_Directory默认为C:\Program Files\VMware\Infrastructure
    • password 为 [email protected]密码
    
    如果命令运行成功，您将看到类似下文的输出：
    
    
    
    
12. 将 VMware vSphere Web Client 重新注册到 vCenter Single Sign-On 中：
    
    注意：regTool.cmd文件中的registerService命令区分大小写。
    
    regTool.cmd registerService --cert "C:\ProgramData\VMware\vSphere Web Client\ssl" --ls-url https://SSOServer.domain.com:7444/lookupservice/sdk --username [email protected] --passwordpassword--dir "Installation_Directory\vSphereWebClient\SsoRegTool\sso_conf" --ip "*.*" --serviceId-file "Installation_Directory\vSphereWebClient\serviceId"
    
    其中：
    • Installation_Directory默认为 C:\Program Files\VMware\Infrastructure
    • password为[email protected]密码
    
    如果命令运行成功，您将看到类似下文的输出：
    
    
    
    
13. 使用文本编辑器打开Installation_Directory\vSphereWebClient\serviceId文件并移除两个旧的服务行。在此示例中，旧行以6d271和49ae1结尾（如步骤 11 中的屏幕截图所示），而新行以3bfc4和ba9f2结尾（如步骤 12 中的屏幕截图所示）。文件中应只有这两行，与步骤 12 的屏幕截图中的已注册服务相对应。
    
    编辑之前，文件内容类似于：
    
    
    
    编辑之后，文件内容类似于：
    
    
    
    
14. 从服务控制管理器启动 VMware vSphere Web Client 服务。可能需要 5 分钟时间以完全初始化。
15. 从服务控制管理器启动 VMware vSphere Log Browser 服务。
16. 要测试证书是否有效，请登录到 vSphere Web Client，并检查是否可访问清单以及是否已正确安装证书。
17. 如果服务位于不同服务器上，或无法重新启动该服务器，请按以下顺序停止并启动这些服务：
    
    
    • 停止 VMware Log Browser 服务。
    • 停止 VMware vSphere Web Client 服务
    • 停止 VMware VirtualCenter Server 服务
    • 停止 VMware vCenter Inventory Service
    • 停止 VMware 安全令牌服务
    • 停止 VMware Identity Management 服务
    • 停止 VMware 证书服务
    • 停止 VMware Kdc 服务
    • 停止 VMware 目录服务
    • 启动 VMware 目录服务
    • 启动 VMware Kdc 服务
    • 启动 VMware 证书服务
    • 启动 VMware Identity Management 服务
    • 启动 VMware 安全令牌服务
    • 启动 VMware vCenter Inventory Service
    • 启动 VMware VirtualCenter Server 服务和 VMware VirtualCenter Management WebServices 服务
    • 启动 VMware vSphere Web Client 服务。
    • 启动 VMware Log Browser 服务。
      
      
18. 等待 5 分钟以便这些服务完全启动。
19. 登录并检查 Log Browser 是否正常运行。
    
    注意：如果服务未完全启动，则不会显示日志浏览器选项。在几分钟后注销并再次登录。完全加载后将可使用此选项。

针对 vSphere Web Client 和 Log Browser 的自定义证书配置现已完成。您可以继续为 vSphere Update Manager 安装自定义证书。有关详细信息，请参见 Configuring CA signed SSL certificates for vSphere Update Manager in vCenter Server 5.1 and 5.5(2037581)。