某些 KMS 供应商要求将根 CA 证书上载到 KMS。随后,此 KMS 即会信任根 CA 签名的所有证书。

vSphere 虚拟机加密使用的根 CA 证书为自签名证书,它存储在 vCenter Server 系统上 VMware Endpoint 证书存储 (VECS) 的独立库中。

注: 仅当要替换现有证书时才生成根 CA 证书。如果执行此操作,根 CA 签名的其他证书将变为无效。可以在此工作流中生成新的根 CA 证书。

过程

  1. 登录到 vSphere Web Client,并选择 vCenter Server 系统。
  2. 单击配置,然后选择密钥管理服务器
  3. 选择要与之建立信任连接的 KMS 实例。
  4. 选择 根 CA 证书,然后单击确定
    “下载根 CA 证书”对话框将填充 vCenter Server 用于加密的根证书。此证书存储在 VECS 中。
  5. 将证书复制到剪贴板,或将证书作为文件下载。
  6. 按照您的 KMS 供应商的说明,将证书上载到其系统中。
    注: 某些 KMS 供应商要求 KMS 供应商重新启动 KMS 以发现上载的根证书。

下一步做什么

完成证书交换。请参见完成信任设置