从 vSphere 6.0 开始,默认情况下,ESXi主机将由 VMCA 使用证书进行置备。您可以改用自定义证书模式或用于调试的旧版指纹模式。在大多数情况下,模式切换会造成破坏且没有必要。如果需要进行模式切换,请在开始之前检查潜在的影响。
在 vSphere 6.0 及更高版本中,
vCenter Server支持
ESXi 主机的以下证书模式。
证书模式 | 描述 |
---|---|
VMware Certificate Authority(默认值) | 默认情况下,VMware Certificate Authority 将作为ESXi主机证书的 CA。默认情况下,VMCA 为根 CA,但可将其设置为其他 CA 的中间 CA。在此模式中,用户可以从vSphere Web Client中管理证书。如果 VMCA 是辅助证书,也将使用 VMCA。 |
自定义证书颁发机构 | 某些客户可能更愿意管理其自己的外部证书颁发机构。在此模式中,客户负责管理证书但无法在 vSphere Web Client中管理证书。 |
指纹模式 | vSphere 5.5 使用指纹模式,且此模式在 vSphere 6.0 中作为后备选项仍然可用。除非使用其他两种模式之一时遇到无法解决的问题,否则不要使用此模式。某些 vCenter 6.0 及更高版本服务在指纹模式下可能无法正常运行。 |
使用自定义 ESXi证书
如果公司策略要求使用 VMCA 以外的根 CA,则可以在仔细规划后在您的环境中切换证书模式。建议的工作流如下:
- 获取要使用的证书。
- 将一个或多个主机置于维护模式,然后断开它们与 vCenter Server的连接。
- 将自定义 CA 根证书添加到 VECS。
- 将自定义 CA 证书部署到每个主机,然后在该主机上重新启动服务。
- 切换到自定义 CA 模式。请参见更改证书模式。
- 将一个或多个主机连接到 vCenter Server系统。
从自定义 CA 模式切换到 VMCA 模式
如果要使用自定义 CA 模式,且确定在您的环境中使用 VMCA 后会具有更优的性能,则可以在仔细规划后执行模式切换。建议的工作流如下:
- 移除 vCenter Server系统中的所有主机。
- 在 vCenter Server系统中,从 VECS 中移除第三方 CA 的根证书。
- 切换到 VMCA 模式。请参见更改证书模式。
- 将主机添加到 vCenter Server系统。
注: 此模式切换的任何其他工作流可能导致不可预知的行为。
在升级过程中保留指纹模式证书
如果使用 VMCA 证书时遇到问题,则可能需要从 VMCA 模式切换为指纹模式。在指纹模式中,vCenter Server系统仅检查证书是否存在和是否正确格式化,而不会检查证书是否有效。有关说明,请参见更改证书模式。
从指纹模式切换到 VMCA 模式
如果使用指纹模式且要开始使用 VMCA 签名证书,则切换需要进行一些规划。建议的工作流如下:
- 移除 vCenter Server系统中的所有主机。
- 切换到 VMCA 证书模式。请参见更改证书模式。
- 将主机添加到 vCenter Server系统。
注: 此模式切换的任何其他工作流可能导致不可预知的行为。
从自定义 CA 模式切换到指纹模式
如果在使用自定义 CA 时遇到问题,请考虑暂时切换到指纹模式。要实现顺利切换,请按照更改证书模式中的说明进行操作。模式切换之后,vCenter Server系统将只检查证书的格式,不再检查证书本身是否有效。
从指纹模式切换到自定义 CA 模式
如果在故障排除期间将环境设置为指纹模式,且希望开始使用自定义 CA 模式,则必须首先生成所需的证书。建议的工作流如下:
- 移除 vCenter Server系统中的所有主机。
- 将自定义 CA 根证书添加到vCenter Server系统上 VECS 中的 TRUSTED_ROOTS 存储区。请参见更新 vCenter Server TRUSTED_ROOTS 存储(自定义证书)。
- 对于每个 ESXi主机:
- 部署自定义 CA 证书和密钥。
- 在主机上重新启动服务。
- 切换到自定义模式。请参见更改证书模式。
- 将主机添加到 vCenter Server系统。