可以根据公司策略和正配置的系统的要求来执行不同类型的证书替换。可以使用 vSphere 证书管理器实用程序执行每个替换,也可以通过使用安装中包含的 CLI 手动执行每个替换。

VMCA 包含在每个 Platform Services Controller 和每个嵌入式部署中。VMCA 可置备每个节点、每个 vCenter Server 解决方案用户,以及每个使用由 VMCA 签名的证书作为证书颁发机构的 ESXi 主机。vCenter Server 解决方案用户是 vCenter Server 服务组。有关解决方案用户的列表,请参见《vSphere 安全性》

可以替换默认证书。对于 vCenter Server 组件,可以使用安装中包含的一组命令行工具。您具有多个选择。

有关替换工作流和 vSphere 证书管理器实用程序的详细信息,请参见《vSphere 安全性》出版物。

使用由 VMCA 签名的证书替换

如果 VMCA 证书过期或由于其他原因要对其进行替换,可以使用证书管理 CLI 执行此过程。默认情况下,VMCA 根证书在十年后过期,且由 VMCA 签名的所有证书都会在根证书过期时过期,即在最多十年后过期。

图 1. 由 VMCA 签名的证书存储在 VECS 中
在默认模式下,VMCA 使用由 VMCA 签名的证书进行置备

使 VMCA 成为中间 CA

您可以将 VMCA 根证书替换为由企业 CA 或第三方 CA 签名的证书。VMCA 在每次置备证书时都会签署自定义根证书,从而使 VMCA 成为中间 CA。

注:

如果执行包含外部 Platform Services Controller 的全新安装,请首先安装 Platform Services Controller,并替换 VMCA 根证书。接下来,安装其他服务或将 ESXi 主机添加到环境中。如果执行包含嵌入式 Platform Services Controller 的全新安装,请在添加 ESXi 主机之前替换 VMCA 根证书。如果这样做,则所有证书都会由整个链签名,且不必生成新证书。

图 2. 由第三方或企业 CA 签名的证书使用 VMCA 作为中间 CA
VMCA 证书作为中间证书包括在内。根证书由第三方 CA 签名。

不要使用 VMCA,使用自定证书进行置备

您可以将现有的 VMCA 签名证书替换为自定义证书。如果使用此方法,则您必须负责置备和监控所有证书。

图 3. 外部证书直接存储在 VECS 中
外部证书直接存储在 VECS 中。VMCA 未使用。

混合部署

您可以让 VMCA 提供一些证书,但对基础架构的其他部分使用自定义证书。例如,由于解决方案用户证书仅用于对 vCenter Single Sign-On 进行身份验证,请考虑让 VMCA 置备这些证书。将计算机 SSL 证书替换为自定义证书以确保所有 SSL 流量的安全。

ESXi 证书替换

对于 ESXi 主机,您可以从 vSphere Web Client 更改证书置备行为。

VMware 证书颁发机构模式(默认值)

vSphere Web Client 续订证书时,VMCA 将为主机颁发证书。如果已将 VMCA 根证书更改为包含证书链,则主机证书将包含完整链。

自定义证书颁发机构模式

允许您手动更新和使用未签名或由 VMCA 颁发的证书。

指纹模式

可用于在刷新期间保留 5.5 证书。仅在调试情况下临时使用此模式。