能够在 vSphere 中管理证书 6.5, 我们将了解如何使用我们拥有的工具来管理 vCenter Server 证书颁发机构. 我们必须使带来 PSC 的 CA 成为我们自己的域 CA 的从属实体，并生成我们信任的证书，因此即使是浏览器也不会信任和其他依赖项. 在本文档的最后，我们将了解如何更改 ESXi 和 vCenter 证书.

在本文档中，我们将使用 vCenter Server Appliance 中嵌入的 VMware 证书颁发机构或 VMCA!

vCenter CA 作为我们的从属

第一件事是安装和配置一个 CA 角色的服务器, 我们将在 Windows 中打开管理控制台，并验证模板中是否有可用的“从属证书颁发机构”模板.

该过程将在 vCSA 中完成, 但在 Windows 的 vCenter 下的过程类似, 我们有相同的工具. 井, 我们通过 SSH 在虚拟设备上登录, 我们创建一个文件夹来放置证书并运行证书管理工具:

[源代码]mkdir /root/SSLCerts</p>
/usr/lib/vmware-vmca/bin/证书管理器[/源代码]

在证书管理工具中, 我们按“2”将 VMCA 根证书替换为我们自己的证书,

选项:

N – 不使用配置文件中的数据生成证书.

我们输入 广告***********@vs*****.loc到

然后我们输入它要求我们的证书数据，并记住写好与 FQDN 对应的主机名

并选择 “1” 生成 CSR

我们指定要将证书留在其中的目录: /根/SSLCerts

然后按“2”退出,

我们核实他留给我们的东西, 我们有一个包含私钥的文件和另一个包含 CSR 的文件, 我们在 CSR 文件上创建一个 cat 并复制证书请求!

关于 Active Directory 证书管理 Web, HTTP 协议://FQDN/CERTSRV 正常. 我们将转到 “Request a certificate”,

我们粘贴已复制的 CSR 并选择“Subordinate certificate authority”（从属证书颁发机构）作为证书模板 & 点击“发送”,

我们还必须在 Base 中“下载 CA 证书” 64, 我们可以在 AD 证书门户的“主页”上找到它.

关于 /root/SSLCerts/ 文件夹

[源代码]触摸vmca_signing_cert.cer</p>
我看到了vmca_signing_cert.cer[/源代码]

正如我们所看到的，我们使用 'vi' 编辑一个文件，我们必须将我们在前面的步骤中生成的证书粘贴到该文件中. 我们将首先粘贴 vCenter 证书，然后粘贴我们域的 CA 证书.

记录 & 我们带着 :WQ

我们验证我们拥有的文件...使用 'ls -ll'.

然后，我们再次启动 vSphere Certificate Manager 以完成该过程并安装我们刚刚创建的证书

[源代码]/usr/lib/vmware-vmca/bin/证书管理器[/源代码]

选项 “2” 替换 VMCA 根证书.

我们输入特权用户, 通常 广告***********@vs*****.loc到

选项 “2” 导入我们刚刚生成的证书.

输入证书文件: /根/CertSSL/vmcsa_signing_cert.cer

输入私钥文件: /根/CertSSL/vmcsa_issued_key.key

Y – 确认证书并将其替换为此证书.

我们等待几分钟，等待所有服务中的证书安装过程完成，然后重新启动它们以重新加载!

我们将能够验证浏览器是否不再出现错误，以及证书是否完全有效! 我们还看到了认证链,

多么漂亮的眼睛, 从属 CA 的证书必须安装在域中的所有计算机上，以便它们信任它, 或手动安装, 但使用 GPO 会更容易!

替换主机上的证书

替换主机上的证书, 我们将以非常简单的方式完成, 选择它，然后从“配置”中选择它 > “系统” > “证书”, 单击“更新 CA 证书”,

选择“Yes”,

现在我们可以单击“续订”来替换证书!

“是”继续,

如果我们针对已修改的 ESXi 主机打开浏览器, 我们将能够看到我们如何拥有完全有效且受信任的证书, 已由我们的 PSC 的 VMCA CA 签署!