说明:

VMware 产品替换 SSL 证书是一个手动且耗时的过程。SDDC Certificate Tool可自动执行此工作流程,并使整个 SDDC 中的证书保持最新状态变得容易。它将替换受支持产品中的所有证书并重新建立组件之间的信任。

支持的产品:

产品

最低版本

最高版本 

VMware Platform Services Controller (PSC) 

6.0 U2 

6.7   

VMware vCenter Server (VC) 

6.0 U2 

6.7  

VMware NSX for vSphere (NSX) 

6.2.4 

6.4.1  

vRealize Log Insight (vRLI) 

3.6 

4.6 

vRealize Operations Manager (vROps) 

6.3 

6.7 

vRealize Automation (vRA) 

7.4 

7.4 

vRealize Business for Cloud (vRB) 

7.1 

7.4 

要求:

运行 Java 1.8+ 的 PhotonOS 或 Linux 

x509 格式的证书文件 (.cer) 

x509 格式的证书链 (.cer) 

下载链接:

​https://flings.vmware.com/sddc-certificate-tool​​​​​​

下面以Centos部署SDDC Certificate Tool和更换vCenter证书为例:

步骤一:部署Centos 7虚拟机并安装Java 1.8

yum install -y java-1.8.0-openjdk

步骤二:上传并安装RPM包

rpm -ivh cert-mgmt-1.0.0-10253169.noarch.rpm

通过VMware SDDC Certificate Tool更换相关产品SSL证书

步骤三:进入/opt/vmware/cert-mgmt/config查看配置文件

通过VMware SDDC Certificate Tool更换相关产品SSL证书

文件

描述

config-all-products.json 

All supported products supported by SDDC Certificate Tool with CSRgeneration code.

config-csr.json 

Two-member external PSC and one vCenter that need CSR generationand replacement.

embedded-psc-vcenter.json

Embedded PSC and vCenter instance that requires a certificatereplacement.

nsx+vc.json

NSX and VC with Embedded PSC but only the certificate on NSX needsreplacement.

psc+vc.json

Two-member external PSC with one vCenter that all requirereplacement.

步骤四:上传签名证书到 Linux 服务器证书路径或使用SDDC Certificate Tool生成证书

java -jar /opt/vmware/cert-mgmt/lib/certreplace-1.0.0.jar -c /opt/vmware/cert-mgmt/config/embedded-psc-vcenter.json -createcsr -passwordEntry

通过VMware SDDC Certificate Tool更换相关产品SSL证书

步骤五:查看embedded-psc-vcenter.json并修改对应配置包含证书路径

通过VMware SDDC Certificate Tool更换相关产品SSL证书

步骤六:运行证书替换命令

java -jar /opt/vmware/cert-mgmt/lib/certreplace-1.0.0.jar -c /opt/vmware/cert-mgmt/config/embedded-psc-vcenter.json -replacecert -passwordEntry

通过VMware SDDC Certificate Tool更换相关产品SSL证书

步骤七:检查证实是否替换完成