新证书基础架构的影响取决于您的环境要求,取决于执行全新安装还是升级,以及考虑 ESXi 还是 vCenter Server

未替换 VMware 证书的管理员

如果您是当前未替换 VMware 证书的管理员,VMCA 可以为您处理所有证书管理。VMCA 使用将 VMCA 用作根证书颁发机构的证书置备 vCenter Server 组件和 ESXi 主机。如果要从之前版本的 vSphere 升级到 vSphere 6,所有自签名证书都会替换为由 VMCA 签名的证书。

将 VMware 证书替换为自定义证书的管理员

对于全新安装,如果公司策略需要第三方或企业证书颁发机构签名的证书或需要自定义证书信息,则管理员有以下选择。

  • 将 VMCA 根证书替换为 CA 签名证书。在这种情况下,VMCA 证书是此第三方 CA 的中间证书。VMCA 使用包含完整证书链的证书置备 vCenter Server 组件和 ESXi 主机。

  • 如果公司策略不允许证书链中出现中间证书,必须明确替换这些证书。可以使用 vSphere 证书管理器实用程序,或使用证书管理 CLI 执行手动证书替换。

升级使用自定义证书的环境时,可以保留某些证书。

  • ESXi 主机在升级过程中保留其自定义证书。确保 vCenter Server 升级过程将所有相关根证书添加到 vCenter Server 上的 VECS 中的 TRUSTED_ROOTS 库。

    vCenter Server 升级后,管理员可以将证书模式设置为“自定义”(请参见更改证书模式)。如果证书模式是默认的 VMCA,且用户从 vSphere Web Client 执行证书刷新,VMCA 签名证书将替换自定义证书。

  • 对于 vCenter Server 组件,具体取决于现有环境。

    • 如果将简单安装升级为嵌入式部署,将保留 vCenter Server 自定义证书。升级后,环境的运行方式不变。

    • 如果升级 vCenter Single Sign-On 与其他 vCenter Server 组件位于不同计算机上的多站点部署,升级过程会创建包含一个 Platform Services Controller 节点和一个或多个管理节点的多节点部署。

      在这种情况下,将保留现有 vCenter ServervCenter Single Sign-On 证书,并将其用作计算机 SSL 证书。VMCA 将 VMCA 签名证书分配给每个解决方案用户(vCenter 服务的集合)。解决方案用户仅使用此证书对 vCenter Single Sign-On 进行身份验证,因此可能无需替换解决方案用户证书。

    由于新架构导致不同服务分布和放置,因此不再使用适用于 vSphere 5.5 安装的 vSphere 5.5 证书替换工具。新命令行实用程序 vSphere 证书管理器适用于大多数证书管理任务。

vCenter 证书界面

对于 vCenter Server,可以使用以下工具和界面查看和替换证书。

vSphere 证书管理器实用程序

从命令行执行所有常见证书替换任务。

证书管理 CLI

使用 dir-clicertoolvecs-cli 执行所有证书管理任务。

vSphere Web Client 证书管理

查看证书,包括过期信息。

对于 ESXi,从 vSphere Web Client 执行证书管理。证书由 VMCA 置备,并且仅存储在 ESXi 主机本地,而不是 vmdir 或 VECS 中。请参见ESXi 主机的证书管理

受支持的 vCenter 证书

对于 vCenter ServerPlatform Services Controller 及相关的计算机和服务,支持以下证书:

  • 由 VMware 证书颁发机构 (VMCA) 生成和签名的证书。

  • 自定义证书。

    • 从内部 PKI 生成的企业证书。

    • 由外部 PKI(如 Verisign、GoDaddy 等)生成的第三方 CA 签名证书。

使用不包含根 CA 的 OpenSSL 创建的自签名证书不受支持。