Возможные проблемы, возникающие после замены сертификатов в VMware vSphere 6.0

After replacing the vCenter Server certificates in VMware vSphere 6.0, the ESX Agent Manager solution user fails to log in
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2112577

After replacing the VMware vCenter Server certificates in VMware vSphere 6.0, the VMware vSphere Auto Deploy solution user fails to log in (2123631)
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2123631

В логе сервиса AutoDeploy после обновления сертификатов может появиться другая ошибка: "No such file or directory: 'C:\\ProgramData\\VMware\\vCenterServer\\data\\autodeploy\\ssl\\crl.pem'". Для ее устранения следует скопировать файл "C:\ProgramData\VMware\vCenterServer\data\vmca\vmca.crl" в каталог "C:\ProgramData\VMware\vCenterServer\data\autodeploy\ssl" и переименовать в "crl.pem".

Перемещение служб Terminal Services (Remote Desktop) Gateway в сайт IIS, отличный от Default Web Site

Необходимо произвести следующие действия:
  1. Создать новый сайт, настроить на нем привязку на нужный IP, порт 443 и указать SSL-сертификат.
  2. В сайте создать 2 новых приложения (Application) с именами "Rpc" и "RpcWithCert". При создании приложений указать в качестве каталога размещения каталог "%windir%\System32\RpcProxy".
  3. Отредактировать файл "C:\Windows\System32\inetsrv\config\applicationHost.config". В файле скопировать содержимое разделов "Default Web Site/Rpc" и "Default Web Site/RpcWithCert" в соответствующие разделы нового сайта.
  4. Перезапустить службы IIS.
  5. При необходимости добавить запись в реестр сервера (потребуется перезагрузка):
reg add HKLM\Software\Microsoft\RPC\RpcProxy /v Website /t REG_SZ /d <new-web-site>

Примечание.
Открывать файл "C:\Windows\System32\inetsrv\config\applicationHost.config" в 64-битной системе необходимо также 64-битным текстовым редактором.

Смена алгоритма подписи SSL-сертификатов в Windows Server Certificate Authority

Необходимо заменить используемый алгоритм (Hash Algorithm) SHA-1 на SHA-256 и перевыпустить корневой сертификат CA.

1. На сервере CA выполнить команду:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
2. Перезапустить сервис CA
3. Перевыпустить новый корневой сертификат CA (All Tasks - Renew CA Certificate)

В дальнейшем для выпуска сертификатов использовать шаблоны с минимальным уровнем CA (Minimum Supported CAs) не ниже "Windows Server 2008 Enterprise".