1.　CA への申請ファイル (CSR) を作成する

以前のバージョンでは、CSR 申請ファイルを生成する機能が無かったそうです。
PKI に詳しくない方はこの作業自体が「？？」だと思うので、自動生成機能のついたバージョン 1.0.1 は本当に素晴らしいと思います。

ダウンロードしたツールキットの解凍先は C ルート直下がお勧めです。
OpenSSL はツールに同梱されているので別途用意する必要はありません。

環境変数ファイル ssl-environment.bat を開き、REQUIRED 項目を編集します。
（但し、chain/key 各ファイルのパス指定は実は意味ないような気がします...）

特に、268 行目の「sso_admin_user」にご注意ください。例文で Domain の綴りが誤っているのもありますが、そもそも Windows 版の SSO 管理者名は admin@System-Domain が既定値です。

rem #      sso_admin_user=System-Doman\administrator
set sso_admin_user=admin@System-Domain

環境ファイルを埋めたたら、実行スクリプト ssl-updater.bat を起動します。

メニュー 2 を選択し、各コンポーネントごとに申請ファイル (*.csr) を生成すると、requests フォルダが次のようになります。

2. CA に署名してもらう

ここでは Windows の ADCS を例に説明します。
証明書 Web サービスにアクセスし、申請ファイル内の Base 64 テキストをコピペ、Web サーバーテンプレートで申請してください。CA 署名証明書は Base 64 のチェーン無しでダウンロードします。名前はいずれも rui.crt にしておきましょう。

続けて、CA 証明書のチェーンを Base 64 でダウンロードします（左）
出力されるチェーン証明書は PKCS#7 という MS フォーマットですので、Java SSL で読める X.509 への変換が必要です。「certnew.p7b」を開いて、X.509 Base 64 (*.cer) でエクスポートしてください（右）
  
（クリックすると拡大します）

CA 署名証明書と CA チェーン証明書を 1 つのチェーン証明書にします。
次のようなコマンドで２つのテキストファイルをコンカチし、crt ファイルと同じフォルダに戻してください。（実は変数ファイルで指定したパスでなくて良いようです）

> copy /a rui.crt+C:\Root64.cer chain.pem

3. SSL 証明書を差し替え、信頼関係を結び直す

※ vCenter マシンのシステムバックアップを取っておくことを強くお勧めします

ssl-updater.bat を再度実行し、メニュー 1 (Update Steps Planner) を選びます。
Update Steps Planner は各コンポーネントをどの順番で差し替えていけばよいか、信頼関係を結びなおせばよいかを教えてくれるものです。
SSL 証明書の差し替えはサービス再起動を伴います。信頼関係が取れていない場合はサービスを起動できなくなってしまうので、この順番はとても重要です。

インストールされていれるコンポーネントを選択します。すべて入れている場合は 8 (All) です。画面が流れてしまった場合は logs フォルダを漁ってください。

実行順番が判明したら、メインメニューから 3 を選びます。
あとは Update Steps Planner で指示された順番で処理していけば完了です。

なお、各処理とも正常終了すると
「completed successfully」「Go to the next step」と出力されるようです。

指示された手順すべてが正常終了したら、vCenter や Web Client あたりに HTTPS 接続してみてください。証明書エラーは出ないと思います。

このらくらくツールの素晴しいところは「CSR 生成機能」と、どのようなインストール構成でも手順化してくれる「Update Steps Planner」にあると思います。
vCenter の各コンポーネントの SSL 信頼関係まで把握しているなんて、おそらく開発者だけなので。（手動で更新していた時は、何回壊してしまったことか...）