Divisão e certificados SSO do vSphere antes da atualização 6.0

Portanto, atualmente temos um ambiente incorporado 5.5 e estamos procurando dividir as funções para atender à topologia recomendada para uma atualização 6.0. Posso ver que preciso ativar novos servidores para a função de SSO, interromper o modo vinculado para um ambiente de vários vcenters e, em seguida, reorientar os vários serviços para o novo servidor de SSO. Nada que eu possa encontrar menciona os certificados usados no processo. Atualmente, temos certificados internos assinados pela CA implantados nos vários segmentos do vsphere.

Estou com dificuldades para descobrir quando apresentar os novos certificados para o SSO enquanto alterno para o servidor SSO externo. Muitos dos métodos para registrar os certificados para SSO exigem que o serviço seja registrado no vCenter, mas a rota de migração parece precisar que o SSO seja girado antes de se reposicionar / registrar.

Então - o novo SSO deve ser implantado usando certificados auto-assinados e, em seguida, uma vez ocorrida a reexecução, os novos certificados serão descartados? Ou os novos certs devem estar no lugar no novo servidor e atribuídos ao SSO e, em seguida, fazer a troca?

Se alguém passou recentemente pela externalização do serviço de SSO antes de uma migração para um Platform Services Controller, ficaria muito grato por ter notícias suas.