从 vSphere 6.0 开始,默认情况下,ESXi 主机将由 VMCA 使用证书进行置备。您可以改用自定义证书模式或用于调试的旧版指纹模式。在大多数情况下,模式切换会造成破坏且没有必要。如果需要进行模式切换,请在开始之前检查潜在的影响。

在 vSphere 6.0 及更高版本中,vCenter Server 支持 ESXi 主机的以下证书模式。

证书模式

描述

VMware Certificate Authority(默认值)

默认情况下,VMware Certificate Authority 将作为 ESXi 主机证书的 CA。默认情况下,VMCA 为root CA,但可将其设置为其他 CA 的中间 CA。在此模式中,用户可以从 vSphere Web Client 中管理证书。如果 VMCA 是辅助证书,也将使用 VMCA。

自定义证书颁发机构

某些客户可能更愿意管理其自己的外部证书颁发机构。在此模式中,客户负责管理证书且无法在 vSphere Web Client 中管理证书。

指纹模式

vSphere 5.5 使用指纹模式,且此模式在 vSphere 6.0 中作为后备选项仍然可用。除非使用其他两种模式之一时遇到无法解决的问题,否则不要使用此模式。某些 vCenter 6.0 及更高版本服务在指纹模式下可能无法正常运行。

使用自定义 ESXi 证书

如果公司策略要求使用 VMCA 以外的 root CA,则可以在仔细规划后在您的环境中切换证书模式。建议的工作流如下:

  1. 获取要使用的证书。

  2. 移除 vCenter Server 中的所有主机。

  3. 将自定义 CA root 证书添加到 VECS(VMware Endpoint 证书存储)。

  4. 将自定义 CA 证书部署到每个主机,然后在该主机上重新启动服务。

  5. 切换到自定义 CA 模式。请参见更改证书模式

  6. 将主机添加到 vCenter Server 系统。

从自定义 CA 模式切换到 VMCA 模式

如果要使用自定义 CA 模式,且确定在您的环境中使用 VMCA 后会具有更优的性能,则可以在仔细规划后执行模式切换。建议的工作流如下:

  1. 移除 vCenter Server 系统中的所有主机。

  2. vCenter Server 系统中,从 VECS 中移除第三方 CA 的 root 证书。

  3. 切换到 VMCA 模式。请参见更改证书模式

  4. 将主机添加到 vCenter Server 系统。

注:

此模式切换的任何其他工作流可能导致不可预知的行为。

在升级过程中保留指纹模式证书

如果使用 VMCA 证书时遇到问题,则可能需要从 VMCA 模式切换为指纹模式。在指纹模式中,vCenter Server 系统仅检查证书是否存在和是否正确格式化,而不会检查证书是否有效。有关说明,请参见更改证书模式

从指纹模式切换到 VMCA 模式

如果使用指纹模式且要开始使用 VMCA 签名证书,则切换需要进行一些规划。建议的工作流如下:

  1. 移除 vCenter Server 系统中的所有主机。

  2. 切换到 VMCA 证书模式。请参见更改证书模式

  3. 将主机添加到 vCenter Server 系统。

注:

此模式切换的任何其他工作流可能导致不可预知的行为。

从自定义 CA 模式切换到指纹模式

如果在使用自定义 CA 时遇到问题,请考虑暂时切换到指纹模式。要实现顺利切换,请按照更改证书模式中的说明进行操作。模式切换之后,vCenter Server 系统将只检查证书的格式,不再检查证书本身是否有效。

从指纹模式切换到自定义 CA 模式

如果在故障排除期间将环境设置为指纹模式,且希望开始使用自定义 CA 模式,则必须首先生成所需的证书。建议的工作流如下:

  1. 移除 vCenter Server 系统中的所有主机。

  2. 将自定义 CA root 证书添加到 vCenter Server 系统上 VECS 中的 TRUSTED_ROOTS 存储区。请参见更新 vCenter Server TRUSTED_ROOTS 存储(自定义证书)

  3. 对于每个 ESXi 主机:

    1. 部署自定义 CA 证书和密钥。

    2. 在主机上重新启动服务。

  4. 切换到自定义模式。请参见更改证书模式

  5. 将主机添加到 vCenter Server 系统。