设置或更新证书基础架构所需的工作取决于您的环境要求,取决于执行全新安装还是升级,以及考虑 ESXi 还是 vCenter Server。
未替换 VMware 证书的管理员
VMCA 可以处理所有证书管理。VMCA 使用将 VMCA 用作 root 证书颁发机构的证书置备 vCenter Server 组件和 ESXi 主机。如果要从之前版本的 vSphere 升级到 vSphere 6,所有自签名证书都会替换为由 VMCA 签名的证书。
如果您当前未替换 VMware 证书,环境将开始使用 VMCA 签名的证书而非自签名证书。
将 VMware 证书替换为自定义证书的管理员
对于全新安装,如果公司策略需要第三方或企业 CA 签名的证书或需要自定义证书信息,则您有以下几种选择。
- 由第三方 CA 或企业 CA 签发 VMCA root 证书。将 VMCA root 证书替换为该签名证书。在这种情况下,VMCA 证书是中间证书。VMCA 使用包含完整证书链的证书置备 vCenter Server 组件和 ESXi 主机。
- 如果公司策略不允许证书链中出现中间证书,可以明确替换这些证书。可以使用 Platform Services Controller Web 界面、vSphere 证书管理器实用程序,或使用证书管理 CLI 执行手动证书替换。
升级使用自定义证书的环境时,可以保留某些证书。
- ESXi 主机在升级过程中保留其自定义证书。确保 vCenter Server 升级过程将所有相关 root 证书添加到 vCenter Server 上的 VECS 中的 TRUSTED_ROOTS 库。
升级到 vSphere 6.0 或更高版本之后,可以将证书模式设置为自定义。如果证书模式是默认的 VMCA,且用户从 vSphere Web Client 执行证书刷新,VMCA 签名证书将替换自定义证书。
- 对于 vCenter Server 组件,具体取决于现有环境。
- 如果将简单安装升级为嵌入式部署,vCenter Server 将保留自定义证书。升级后,环境的运行方式不变。
- 如果升级多站点部署,vCenter Single Sign-On 可与其他 vCenter Server 组件位于不同计算机上。在这种情况下,升级过程会创建包含一个 Platform Services Controller 节点和一个或多个管理节点的多节点部署。
此方案将保留现有 vCenter Server 和 vCenter Single Sign-On 证书。这些证书将用作计算机 SSL 证书。
此外,VMCA 将 VMCA 签名证书分配给每个解决方案用户(vCenter 服务的集合)。解决方案用户仅使用此证书对 vCenter Single Sign-On 进行身份验证。公司策略通常不要求替换解决方案用户证书。
不再使用适用于 vSphere 5.5 安装的 vSphere 5.5 证书替换工具。新架构导致不同服务分布和放置。新命令行实用程序 vSphere 证书管理器适用于大多数证书管理任务。
vSphere 证书界面
| 界面 | 适用情况 |
|---|---|
| Platform Services Controller Web 界面 | 使用图形用户界面执行常见证书任务。 |
| vSphere 证书管理器实用程序 | 从 vCenter Server 安装的命令行执行常见证书替换任务。 |
| 证书管理 CLI | 使用 dir-cli、certool 和 vecs-cli 执行所有证书管理任务。 |
| vSphere Web Client | 查看证书,包括过期信息。 |
对于 ESXi,从 vSphere Web Client 执行证书管理。VMCA 会置备证书并将其存储在 ESXi 主机本地。VMCA 不将 ESXi 主机证书存储在 VMDIR 或 VECS 中。请参见vSphere 安全性文档。
受支持的 vCenter 证书
对于 vCenter Server、Platform Services Controller 及相关的计算机和服务,支持以下证书:
- 由 VMware Certificate Authority (VMCA) 生成和签名的证书。
- 自定义证书。
- 从内部 PKI 生成的企业证书。
- 由外部 PKI(如 Verisign、GoDaddy 等)生成的第三方 CA 签名证书。
使用不包含root CA 的 OpenSSL 创建的自签名证书不受支持。
