ESXi 使用安装过程中自动生成的证书。这些证书是唯一的,使用这些证书后便可以开始使用服务器,但它们是不可验证的,而且不是由权威证书颁发机构 (CA) 签名的。本主题说明了如何使用自签名证书或 CA 签名证书来替换默认证书。

开始之前

  • 如果要使用 CA 签名的证书,请生成证书请求、将其发送至证书颁发机构,并将接收的证书存储在主机可访问的位置。

  • 如果需要,从 vSphere Web Client 启用 ESXi Shell 或启用 SSH 流量。请参见使用 vSphere Web Client 启用对 ESXi Shell 的访问

  • 所有的文件传输和其他通信均通过安全 HTTPS 会话进行。用于验证会话的用户必须在主机上拥有 Host > Config > AdvancedConfig 特权。有关 ESXi 特权的更多信息,请参见《vSphere 单台主机管理》出版物。

关于此任务

使用默认证书可能不符合您的组织的安全策略。如果需要可信证书颁发机构颁发的证书,则可以替换默认证书。

注:

如果主机启用了“验证证书”功能,则替换默认证书可能会导致 vCenter Server 停止管理主机。如果 vCenter Server 无法验证新证书,请断开主机连接,然后重新连接。

ESXi 仅支持使用 X.509 证书来加密通过服务器和客户端组件之间的 SSL 连接发送的会话信息。

过程

  1. 以管理员权限用户的身份登录 ESXi Shell,可直接从 DCUI 登录,也可从 SSH 客户端登录。
  2. /etc/vmware/ssl 目录中,使用以下命令重命名现有证书。

    mv rui.crt orig.rui.crt
    mv rui.key orig.rui.key

  3. 将要使用的证书复制到 /etc/vmware/ssl
  4. 将新证书和密钥重命名为 rui.crtrui.key
  5. 安装新证书之后重新启动主机。

    或者也可以将主机置于维护模式,安装新证书,使用直接控制台用户界面 (DCUI) 重新启动管理代理,并将主机设置为退出维护模式。