您公司的安全策略可能要求您在每台主机上将默认的 ESXi SSL 证书替换为第三方 CA 签名的证书。

默认情况下,vSphere 组件使用在安装过程中创建的 VMCA 签名证书和密钥。如果意外删除 VMCA 签名证书,请从其 vCenter Server 系统中移除该主机,然后再重新添加该主机。在添加主机时,vCenter Server 会请求由 VMCA 颁发的新证书,并使用该证书置备主机。

如果公司策略有相关要求,则可以将 VMCA 签名证书替换为由受信任的 CA(商业 CA 或组织 CA)颁发的证书。

默认证书位于与 vSphere 5.5 证书相同的位置。您可以通过多种方式来将默认证书替换为受信任的证书。

注:

您也可以使用 vSphere Web Services SDK 中的 vim.CertificateManagervim.host.CertificateManager 受管对象。请参见 vSphere Web Services SDK 文档。

替换证书后,您必须在管理主机的 vCenter Server 系统上更新 VECS 中的 TRUSTED_ROOTS 存储,以确保 vCenter ServerESXi 主机建立信任关系。