计算机 SSL 证书由每个管理节点上的反向代理服务、Platform Services Controller 和嵌入式部署使用。每台计算机都必须拥有可用于与其他服务进行安全通信的计算机 SSL 证书。可以将每个节点上的证书替换为自定义证书。

先决条件

开始之前,您需要为环境中的每个计算机生成一个 CSR。您可以使用 vSphere 证书管理器生成 CSR 或明确生成 CSR。

  1. 要使用 vSphere 证书管理器生成 CSR,请参见使用 vSphere 证书管理器生成证书签名请求(自定义证书)

  2. 要明确生成 CSR,请从第三方或企业 CA 为每个计算机请求一个证书。证书必须满足以下要求:

    • 密钥大小:2048 位或更大(PEM 编码)

    • CRT 格式

    • x509 版本 3

    • SubjectAltName 必须包含 DNS Name=<machine_FQDN>

    • 包含以下密钥使用:数字签名、不可否认性、密钥加密

注:

不要在任何自定义证书中使用 CRL 分发点、授权信息访问或证书模板信息。

另请参见 VMware 知识库文章 2112014,从 Microsoft 证书颁发机构获取 vSphere 证书

过程

  1. 启动 vSphere 证书管理器并选择选项 1。
  2. 选择选项 2 开始证书替换并根据提示提供信息。

    vSphere 证书管理器提示您输入以下信息:

    • administrator@vsphere.local 的密码。

    • 有效的计算机 SSL 自定义证书(.crt 文件)。

    • 有效的计算机 SSL 自定义密钥(.key 文件)。

    • 有效的自定义计算机 SSL 证书的签名证书(.crt 文件)。

    • 如果是在多节点部署中的管理节点中运行命令,则提示您输入 Platform Services Controller 的 IP 地址。

下一步做什么

如果从 vSphere 5.x 环境升级,可能必须替换 vmdir 中的 vCenter Single Sign-On 证书。请参见在混合模式环境中替换 VMware Directory Service 证书