esxi导入证书

如何使用 vSphere Certificate Manager 替换 SSL 证书 (2097936)

---

Last Updated: 2020/5/13Categories: How toLanguage:                 Chinese (Simplified)JapaneseEnglish                          subscribe

 

 Symptoms

免责声明： 本文为 How to use vSphere Certificate Manager to Replace SSL Certificates 的翻译版本。 尽管我们会不断努力为本文提供最佳翻译版本，但本地化的内容可能会过时。 有关最新内容，请参见英文版本。

 

 Purpose

本文介绍何时以及如何使用 vSphere 6.x/7.x 版本的 Certificate Manager。

 

vSphere Certificate Manager 可用于：

1. 实施默认证书（使用选项 4）

• 未计划实施由企业 CA (如 Microsoft Windows CA) 或商业 CA（Verisign、GoDaddy 等）签署的自定义 CA 证书时，可以使用此选项。
• 在此环境中，vSphere 证书由 VMCA 生成和颁发，并由 vSphere Endpoint Certificate Store (VECS) 存储。
• 默认情况下，在 vSphere

2. 将 VMCA 证书替换为自定义 CA 证书（使用选项 2）

• 在此环境中，将默认的 VMCA 证书和密钥替换为来自企业 CA (如 Microsoft Windows CA) 或商业 CA（Verisign、GoDaddy 等）的自定义 CA 证书和密钥。
• 然后 VMCA 将用于生成新 vSphere 证书，这些证书将由以前导入的自定义 CA 证书和密钥签署。
• 在 vSphere

3. 将所有 vSphere 证书和密钥替换为自定义 CA 证书和密钥（使用选项 5）

• 在此环境中，将计算机证书和所有的解决方案用户证书替换为由企业 CA (如 Microsoft Windows CA) 或商业 CA（Verisign、GoDaddy 等）签署的自定义 CA 证书。
• VMCA 不负责颁发这些证书。

请注意：在 vSphere 7.x 中，可以在 vCenter 用户界面中执行步骤 1 和 2。

 

 Resolution

注意：对于 vSphere vCenter 7.x，可以在用户界面中通过如下路径更新证书或生成证书签名请求：菜单 > 管理 > 证书 > 证书管理。在 计算机 SSL 证书 部分，选择操作 下拉菜单。

注意：在 Windows 上，如果启用了用户访问控制，请务必以管理员身份登录或“以管理员身份运行”

 

要启动 vSphere Certificate Manager，请运行如下命令：

• vCenter Server（Windows 版本）：C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
• vCenter Server Appliance：/usr/lib/vmware-vmca/bin/certificate-manager

运行 certificate-manager 命令时，将为您提供 8 个选项，如屏幕截图中所示。

1. 将计算机 SSL 证书替换为自定义 CA 证书。
   
   计算机 SSL 证书提供了一个子选项，用于为计算机 SSL 证书生成证书签名请求和密钥。
   
   所需信息：

• administrator@vsphere.local 密码。
• 指向计算机证书的自定义证书和密钥的路径。
• 指向 VMCA Root 的自定义证书的路径
   

2. 将 VMCA Root 证书替换为自定义 CA 签名证书，并替换所有证书。
   
   提供了一个子选项，用于为 VMCA 根签名证书生成证书签名请求和密钥。
   
   所需信息：

• administrator@vsphere.local 密码
• 配置 certool.cfg 文件（VMCA 生成证书时使用）
• 根签名证书
• 根签名密钥

可选信息：

• 是否要将所有的解决方案用户证书替换为自定义 CA？

• 是：指向解决方案用户（vpxd、vpxd-extension、vsphere-webclient、machine）的自定义证书和密钥的路径。
  注意：稍后也可以使用选项 5 执行此步骤。
• 否：VMCA 将使用提供的自定义 CA 签名证书为解决方案用户生成新的证书/密钥。
  注意：稍后也可以使用选项 6 执行此步骤。
   

• 是否要将计算机 SSL 证书替换为自定义 CA？

• 是：指向计算机证书的自定义证书和密钥的路径。
  注意：稍后也可以使用选项 1 执行此步骤。
• 否：VMCA 将使用提供的自定义 CA 签名证书为计算机生成新的证书/密钥。
  注意：稍后也可以使用选项 3 执行此步骤。

1. 将计算机 SSL 证书替换为 VMCA 生成的证书。
   
   所需信息：

• administrator@vsphere.local 密码
• 配置 certool.cfg 文件（VMCA 生成证书时使用）
   

2. 重新生成新的默认 VMCA Root 证书，并替换所有证书。
   
   所需信息：

• administrator@vsphere.local 密码
• 配置 certool.cfg 文件（VMCA 生成证书时使用）
   

3. 将解决方案用户证书替换为自定义 CA 证书。
   
   所需信息：

• administrator@vsphere.local 密码
• 指向自定义根 CA 证书的路径
• 指向 vpxd 解决方案用户的自定义证书和密钥的路径
• 指向 vpxd-extension 解决方案用户的自定义证书和密钥的路径
• 指向 vSphere-webclient 解决方案用户的自定义证书和密钥的路径
• 指向 machine 解决方案用户的自定义证书和密钥的路径
   

4. 将计算机 SSL 证书和解决方案用户证书替换为 VMCA 生成的证书。
   
   所需信息：
   
   administrator@vsphere.local 密码
    
5. 通过重新发布旧证书恢复上次执行的操作。
    
6. 重置所有证书。
   
   所需信息：

• administrator@vsphere.local 密码
• 配置 certool.cfg 文件（VMCA 生成证书时使用）

 

 

 Related Information

 

• 有关实施 CA 签名证书的详细信息，请参见 Replacing default certificates with CA signed SSL certificates in vSphere 6.x 。
• Using certool to generate CSRs that include multiple DNS names for one host

 

注意： 当前，vCenter Server 仅与 VMCA 集成在一起。vSphere Certificate Manager 和 VMCA 当前不能用于向任何其他产品颁发证书。

日志文件位置：

• vSphere Certificate Manager 将 certificate-manager.log 文件存储在 se 位置中：
• Windows vCenter Server 6.x: C:\ProgramData\VMware\vCenterServer\logs\vmca\certificate-manager.log
• vCenter Server Appliance 6.x/7.x: /var/log/vmware/vmcad/certificate-manager.log

 

• certool.cfg 文件的位置： C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg.:
• vCenter Server Appliance 和 Platform Services Controller 设备中的配置文件位置：

• vCenter Server Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg
• Platform Service Controller Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg

 Symptoms

免责声明： 本文为 How to use vSphere Certificate Manager to Replace SSL Certificates 的翻译版本。 尽管我们会不断努力为本文提供最佳翻译版本，但本地化的内容可能会过时。 有关最新内容，请参见英文版本。

 

 Purpose

本文介绍何时以及如何使用 vSphere 6.x/7.x 版本的 Certificate Manager。

 

vSphere Certificate Manager 可用于：

1. 实施默认证书（使用选项 4）

• 未计划实施由企业 CA (如 Microsoft Windows CA) 或商业 CA（Verisign、GoDaddy 等）签署的自定义 CA 证书时，可以使用此选项。
• 在此环境中，vSphere 证书由 VMCA 生成和颁发，并由 vSphere Endpoint Certificate Store (VECS) 存储。
• 默认情况下，在 vSphere

2. 将 VMCA 证书替换为自定义 CA 证书（使用选项 2）

• 在此环境中，将默认的 VMCA 证书和密钥替换为来自企业 CA (如 Microsoft Windows CA) 或商业 CA（Verisign、GoDaddy 等）的自定义 CA 证书和密钥。
• 然后 VMCA 将用于生成新 vSphere 证书，这些证书将由以前导入的自定义 CA 证书和密钥签署。
• 在 vSphere

3. 将所有 vSphere 证书和密钥替换为自定义 CA 证书和密钥（使用选项 5）

• 在此环境中，将计算机证书和所有的解决方案用户证书替换为由企业 CA (如 Microsoft Windows CA) 或商业 CA（Verisign、GoDaddy 等）签署的自定义 CA 证书。
• VMCA 不负责颁发这些证书。

请注意：在 vSphere 7.x 中，可以在 vCenter 用户界面中执行步骤 1 和 2。

 

 Resolution

注意：对于 vSphere vCenter 7.x，可以在用户界面中通过如下路径更新证书或生成证书签名请求：菜单 > 管理 > 证书 > 证书管理。在 计算机 SSL 证书 部分，选择操作 下拉菜单。

注意：在 Windows 上，如果启用了用户访问控制，请务必以管理员身份登录或“以管理员身份运行”

 

要启动 vSphere Certificate Manager，请运行如下命令：

• vCenter Server（Windows 版本）：C:\Program Files\VMware\vCenter Server\vmcad\certificate-manager
• vCenter Server Appliance：/usr/lib/vmware-vmca/bin/certificate-manager

运行 certificate-manager 命令时，将为您提供 8 个选项，如屏幕截图中所示。

1. 将计算机 SSL 证书替换为自定义 CA 证书。
   
   计算机 SSL 证书提供了一个子选项，用于为计算机 SSL 证书生成证书签名请求和密钥。
   
   所需信息：

• administrator@vsphere.local 密码。
• 指向计算机证书的自定义证书和密钥的路径。
• 指向 VMCA Root 的自定义证书的路径
   

2. 将 VMCA Root 证书替换为自定义 CA 签名证书，并替换所有证书。
   
   提供了一个子选项，用于为 VMCA 根签名证书生成证书签名请求和密钥。
   
   所需信息：

• administrator@vsphere.local 密码
• 配置 certool.cfg 文件（VMCA 生成证书时使用）
• 根签名证书
• 根签名密钥

可选信息：

• 是否要将所有的解决方案用户证书替换为自定义 CA？

• 是：指向解决方案用户（vpxd、vpxd-extension、vsphere-webclient、machine）的自定义证书和密钥的路径。
  注意：稍后也可以使用选项 5 执行此步骤。
• 否：VMCA 将使用提供的自定义 CA 签名证书为解决方案用户生成新的证书/密钥。
  注意：稍后也可以使用选项 6 执行此步骤。
   

• 是否要将计算机 SSL 证书替换为自定义 CA？

• 是：指向计算机证书的自定义证书和密钥的路径。
  注意：稍后也可以使用选项 1 执行此步骤。
• 否：VMCA 将使用提供的自定义 CA 签名证书为计算机生成新的证书/密钥。
  注意：稍后也可以使用选项 3 执行此步骤。

1. 将计算机 SSL 证书替换为 VMCA 生成的证书。
   
   所需信息：

• administrator@vsphere.local 密码
• 配置 certool.cfg 文件（VMCA 生成证书时使用）
   

2. 重新生成新的默认 VMCA Root 证书，并替换所有证书。
   
   所需信息：

• administrator@vsphere.local 密码
• 配置 certool.cfg 文件（VMCA 生成证书时使用）
   

3. 将解决方案用户证书替换为自定义 CA 证书。
   
   所需信息：

• administrator@vsphere.local 密码
• 指向自定义根 CA 证书的路径
• 指向 vpxd 解决方案用户的自定义证书和密钥的路径
• 指向 vpxd-extension 解决方案用户的自定义证书和密钥的路径
• 指向 vSphere-webclient 解决方案用户的自定义证书和密钥的路径
• 指向 machine 解决方案用户的自定义证书和密钥的路径
   

4. 将计算机 SSL 证书和解决方案用户证书替换为 VMCA 生成的证书。
   
   所需信息：
   
   administrator@vsphere.local 密码
    
5. 通过重新发布旧证书恢复上次执行的操作。
    
6. 重置所有证书。
   
   所需信息：

• administrator@vsphere.local 密码
• 配置 certool.cfg 文件（VMCA 生成证书时使用）

 

 

 Related Information

 

注意： 当前，vCenter Server 仅与 VMCA 集成在一起。vSphere Certificate Manager 和 VMCA 当前不能用于向任何其他产品颁发证书。

日志文件位置：

• vSphere Certificate Manager 将 certificate-manager.log 文件存储在 se 位置中：
• Windows vCenter Server 6.x: C:\ProgramData\VMware\vCenterServer\logs\vmca\certificate-manager.log
• vCenter Server Appliance 6.x/7.x: /var/log/vmware/vmcad/certificate-manager.log

 

• certool.cfg 文件的位置： C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg.:
• vCenter Server Appliance 和 Platform Services Controller 设备中的配置文件位置：

• vCenter Server Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg
• Platform Service Controller Appliance: /usr/lib/vmware-vmca/share/config/certool.cfg