在 vSphere 6.0 及更高版本中,默认情况下,VMware Certificate Authority (VMCA) 将使用将 VMware 作为根证书颁发机构的签名证书置备每个新 ESXi 主机。在主机明确或作为安装或升级到 ESXi 6.0 或更高版本的一部分添加到 vCenter Server 时,便会进行置备。

您可以通过 vSphere Web Client 以及通过在 vSphere Web Services SDK 中使用 vim.CertificateManager API 来查看和管理 ESXi 证书。无法使用可用于管理 vCenter Server 证书的证书管理 CLI 查看或管理 ESXi 证书。

vSphere 5.5 和 vSphere 6.x 中的证书

ESXivCenter Server 进行通信时,二者将使用 TLS/SSL 处理几乎所有管理流量。

在 vSphere 5.5 及更早版本中,只能通过组合使用用户名、密码和指纹确保 TLS/SSL 端点的安全。用户可以将对应的自签名证书替换为其自己的证书。请参见 vSphere 5.5 文档中心。

在 vSphere 6.0 及更高版本中, vCenter Server 支持 ESXi 主机的以下证书模式。
表 1. ESXi 主机的证书模式
证书模式 描述
VMware Certificate Authority(默认值) 如果 VMCA 作为顶级 CA 或中间 CA 置备所有 ESXi 主机,则使用此模式。

默认情况下,VMCA 将使用证书置备 ESXi 主机。

在此模式中,您可以从 vSphere Web Client 刷新和续订证书。

自定义证书颁发机构 如果希望仅使用第三方或企业 CA 签名的自定义证书,则使用此模式。
在此模式中,您必须管理证书。您无法从 vSphere Web Client 刷新和续订证书。
注: 除非将证书模式更改为自定义证书颁发机构,否则在 vSphere Web Client 中选择 续订等情况下,VMCA 可能会替换自定义证书。
指纹模式 vSphere 5.5 使用指纹模式,且此模式在 vSphere 6.x 中作为后备选项仍然可用。在此模式中,vCenter Server 会检查证书格式是否正确,但不会检查证书是否有效。甚至会接受已过期的证书。

除非使用其他两种模式之一时遇到无法解决的问题,否则不要使用此模式。某些 vCenter 6.x 及更高版本服务在指纹模式下可能无法正常运行。

证书过期

从 vSphere 6.0 开始,您可以在 vSphere Web Client 中查看有关由 VMCA 或第三方 CA 签名的证书的证书过期信息。您可以查看由 vCenter Server 管理的所有主机或单个主机的信息。如果证书处于不久即将过期状态(少于八个月),则将发出黄色警报。如果证书处于即将过期状态(少于两个月),则将发出红色警报。

ESXi 置备和 VMCA

从安装介质引导 ESXi 主机时,主机最初使用自动生成的证书。当主机添加到 vCenter Server 系统时,将使用 VMCA 作为根 CA 签名的证书置备主机。

该过程与使用 Auto Deploy 置备主机类似。但是,这些主机不会存储任何状态,因此签名证书将由 Auto Deploy 服务器存储在其本地证书存储中。在 ESXi 主机后续引导期间,将重新使用该证书。Auto Deploy 服务器是任何嵌入式部署或 vCenter Server 系统的一部分。

如果 Auto Deploy 主机首次引导时 VMCA 不可用,则主机将先尝试连接。如果主机无法连接,则它会在关闭和重新引导之间循环,直到 VMCA 可用且可以使用签名证书置备主机。

ESXi 证书管理所需的特权

对于 ESXi 主机的证书管理,您必须具有 证书.管理证书 特权。可以从 vSphere Web Client 中设置该特权。

主机名称和 IP 地址更改

在 vSphere 6.0 及更高版本中,主机名称或 IP 地址更改会影响 vCenter Server 是否会将主机的证书视为有效。将主机添加到 vCenter Server 的方式将影响是否需要人工干预。人工干预是指重新连接主机或从 vCenter Server 中移除主机,然后再重新添加该主机。

表 2. 主机名称或 IP 地址更改时需要人工干预
将主机添加到 vCenter Server 所使用的方式... 主机名称更改 IP 地址更改
主机名称 vCenter Server 连接问题。需要人工干预。 无需干预。
IP 地址 无需干预。 vCenter Server 连接问题。需要人工干预。