Symptoms

免责声明： 本文为 How to use vSphere Certificate Manager to Replace SSL Certificates 的翻译版本。 尽管我们会不断努力为本文提供最佳翻译版本，但本地化的内容可能会过时。 有关最新内容，请参见英文版本。

 Purpose

本文介绍何时以及如何使用 vSphere 6.x/7.x 版本的 Certificate Manager。

1. 实施默认证书（使用选项 4）
   • 未计划实施由企业 CA (如 Microsoft Windows CA) 或商业 CA（Verisign、GoDaddy 等）签署的自定义 CA 证书时，可以使用此选项。
   • 在此环境中，vSphere 证书由 VMCA 生成和颁发，并由 vSphere Endpoint Certificate Store (VECS) 存储。
   • 默认情况下，在 vSphere 之外这些证书不被信任。
2. 将 VMCA 证书替换为自定义 CA 证书（使用选项 2）
   • 在此环境中，将默认的 VMCA 证书和密钥替换为来自企业 CA (如 Microsoft Windows CA) 或商业 CA（Verisign、GoDaddy 等）的自定义 CA 证书和密钥。
   • 然后 VMCA 将用于生成新 vSphere 证书，这些证书将由以前导入的自定义 CA 证书和密钥签署。
   • 在 vSphere 之外，这些由 VMCA 颁发的证书是被信任的。
3. 将所有 vSphere 证书和密钥替换为自定义 CA 证书和密钥（使用选项 5）
   • 在此环境中，将计算机证书和所有的解决方案用户证书替换为由企业 CA (如 Microsoft Windows CA) 或商业 CA（Verisign、GoDaddy 等）签署的自定义 CA 证书。
   • VMCA 不负责颁发这些证书。

请注意：在 vSphere 7.x 中，可以在 vCenter 用户界面中执行步骤 1 和 2。

 Resolution

• vCenter Server（Windows 版本）：C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
• vCenter Server Appliance：/usr/lib/vmware-vmca/bin/certificate-manager

1. 将计算机 SSL 证书替换为自定义 CA 证书。

   计算机 SSL 证书提供了一个子选项，用于为计算机 SSL 证书生成证书签名请求和密钥。

   所需信息：

   • administrator@vsphere.local 密码。
   • 指向计算机证书的自定义证书和密钥的路径。
   • 指向 VMCA Root 的自定义证书的路径

2. 将 VMCA Root 证书替换为自定义 CA 签名证书，并替换所有证书。

   提供了一个子选项，用于为 VMCA 根签名证书生成证书签名请求和密钥。

   所需信息：

   • administrator@vsphere.local 密码
   • 配置 certool.cfg 文件（VMCA 生成证书时使用）
   • 根签名证书
   • 根签名密钥

可选信息：

• 是否要将所有的解决方案用户证书替换为自定义 CA？
  • 是：指向解决方案用户（vpxd、vpxd-extension、vsphere-webclient、machine）的自定义证书和密钥的路径。
    注意：稍后也可以使用选项 5 执行此步骤。
  • 否：VMCA 将使用提供的自定义 CA 签名证书为解决方案用户生成新的证书/密钥。
    注意：稍后也可以使用选项 6 执行此步骤。
• 是否要将计算机 SSL 证书替换为自定义 CA？
  • 是：指向计算机证书的自定义证书和密钥的路径。
    注意：稍后也可以使用选项 1 执行此步骤。
  • 否：VMCA 将使用提供的自定义 CA 签名证书为计算机生成新的证书/密钥。
    注意：稍后也可以使用选项 3 执行此步骤。

1. 将计算机 SSL 证书替换为 VMCA 生成的证书。

   所需信息：

   • administrator@vsphere.local 密码
   • 配置 certool.cfg 文件（VMCA 生成证书时使用）
2. 重新生成新的默认 VMCA Root 证书，并替换所有证书。

   所需信息：

   • administrator@vsphere.local 密码
   • 配置 certool.cfg 文件（VMCA 生成证书时使用）

3. 将解决方案用户证书替换为自定义 CA 证书。

   所需信息：

   • administrator@vsphere.local 密码
   • 指向自定义根 CA 证书的路径
   • 指向 vpxd 解决方案用户的自定义证书和密钥的路径
   • 指向 vpxd-extension 解决方案用户的自定义证书和密钥的路径
   • 指向 vSphere-webclient 解决方案用户的自定义证书和密钥的路径
   • 指向 machine 解决方案用户的自定义证书和密钥的路径
4. 将计算机 SSL 证书和解决方案用户证书替换为 VMCA 生成的证书。

   所需信息：

   administrator@vsphere.local 密码

5. 通过重新发布旧证书恢复上次执行的操作。
6. 重置所有证书。

   所需信息：

   • administrator@vsphere.local 密码
   • 配置 certool.cfg 文件（VMCA 生成证书时使用）

 Related Information

• 有关实施 CA 签名证书的详细信息，请参见 Replacing default certificates with CA signed SSL certificates in vSphere 6.x 。
• Using certool to generate CSRs that include multiple DNS names for one host

• vSphere Certificate Manager 将 certificate-manager.log 文件存储在 se 位置中：