本文是配置 PSC HA 的一系列文章的一部分。有关主要文章，请参见 Configuring Platform Service Controller HA in vSphere 6.5 (2147018)。

创建证书请求

1. 连接到 vCenter Server 或 Platform Services Controller。
2. 创建 C:\certs\ 文件夹。
3. 使用纯文本编辑器创建包含以下条目的 psc_ha_csr_cfg.cfg 文件：
   
   [ req ]
   distinguished_name = req_distinguished_name
   encrypt_key = no
   prompt = no
   string_mask = nombstr
   req_extensions = v3_req
   [ v3_req ]
   basicConstraints = CA:false
   keyUsage = nonRepudiation, digitalSignature, keyEncipherment
   subjectAltName = DNS:psc-ha-a1.domain.com, DNS:psc-ha-a2.domain.com, DNS:psc-ha-vip.domain.com
   [ req_distinguished_name ]
   countryName =Country
   stateOrProvinceName =State
   localityName =City
   0.organizationName =Company
   organizationalUnitName =Department
   commonName =psc-ha-vip.domain.com
   
   注意：

• subjectAltName 值应当包含将加入此 HA 站点的所有 PSC FQDN，包括负载平衡 FQDN。
• commonName 值应当是负载平衡 FQDN。
  

• 打开提升的命令提示符。
• 运行以下命令以创建psc-ha-vip.csr和psc-ha-vip.key文件。
  
  "%VMWARE_OPENSSL_BIN%"openssl req -new -nodes -out /certs/psc-ha-vip.csr -newkey rsa:2048 -keyout /certs/psc-ha-vip.key -config /certs/psc_ha_csr_cfg.cfg
  
  注意：使用 rsa:2048 创建密钥长度为 2048 位的专用密钥。此值可以增大，2048 是支持的最小密钥长度。
  
  
  
  

  通过 VMCA 生成证书

  1. 运行以下命令，以通过 psc-ha-vip.csr 和输出 psc-ha-vip.crt 文件的 psc_ha_csr_cfg.cfg 文件创建证书。
     
     "%VMWARE_OPENSSL_BIN%"openssl.exe x509 -req -days 3650 -in C:\certs\psc-ha-vip.csr -out C:\certs\psc-ha-vip.crt -CA <path>root.cer -CAkey <path>privatekey.pem -extensions v3_req -CAcreateserial -extfile C:\certs\psc_ha_csr_cfg.cfg
     
     
  2. 运行以下命令，以复制当前的 VMCA root 证书并将其重命名为 cachain.crt。
     
     more C:\certs\root.cer >> C:\certs\cachain.crt
     
     
  3. 运行以下命令，以创建包含新创建的证书和名为 psc-ha-vip-chain.crt 的 VMCA root 证书的计算机 SSL 证书。
     
     more C:\certs\psc-ha-vip.crt >> C:\certs\psc-ha-vip-chain.crt
     more C:\certs\cachain.crt >> C:\certs\psc-ha-vip-chain.crt

  通过外部证书颁发机构生成证书

  1. 向首选的证书颁发机构提供在前面步骤中生成的证书签名请求。有关详细信息，请参见 Obtaining vSphere certificates from a Microsoft Certificate Authority (2112014)。
  2. 运行以下命令，以使用 Root CA、计算机 SSL 证书和任何中间 CA 创建名为psc-ha-vip-chain.crt的证书链。
     
     注意：可能不需要添加 CustomInterCA#.crt，具体取决于证书服务器配置。
     
     more C:\certs\psc-ha-vip.crt >> C:\certs\psc-ha-vip-chain.crt
     more C:\certs\CustomInterCA1.crt >> C:\certs\psc-ha-vip-chain.crt
     more C:\certs\CustomInterCA2.crt >> C:\certs\psc-ha-vip-chain.crt
     more C:\certs\CustomRootCA.crt >> C:\certs\psc-ha-vip-chain.crt
     
     
  3. 如果具有中间证书，请运行以下命令创建中间证书和 root 证书的 cachain.crt。
     
     more C:\certs\CustomInterCA1.crt >> C:\certs\cachain.crt
     more C:\certs\CustomInterCA2.crt >> C:\certs\cachain.crt
     more C:\certs\CustomRootCA.crt >> C:\certs\cachain.crt

  准备证书

  应当已经创建了三个证书
  • psc-ha-vip-chain.crt
  • psc-ha-vip.key
  • cachain.crt

  验证证书信息
  1. 运行以下命令以打开证书：
     
     "%VMWARE_OPENSSL_BIN%"openssl.exe x509 -in C:\certs\psc-ha-vip-chain.crt -noout -text
     
     
  2. 确保 Subject CN 值是正确的负载平衡 FQDN。
  3. 确保DNS值包含所有 PSC FQDN 和负载平衡器 FQDN。

  替换 Platform Services Controller 上的证书

  1. 使用以下命令启动证书管理器：
     
     C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
     
     
  2. 依次选择“选项 1”和“选项 2”。
  3. 提供在“准备证书”部分创建的 psc-ha-vip-chain.crt、psc-ha-vip.key 和 cachain.crt 文件的路径。
     
     例如：
     
     Please provide valid custom certificate for Machine SSL.
     File : C:\certs\psc-ha-vip-chain.crt
     Please provide valid custom key for Machine SSL.
     File : C:\certs\psc-ha-vip.key
     Please provide the signing certificate of the Machine SSL certificate
     File : C:\certs\cachain.crt
     Important: Replace the Machine SSL Certificate of the additional PSC using the same certificate.