可以从 ESXi Shell 替换默认的 VMCA 签名的 ESXi 证书。

先决条件

  • 如果要使用第三方 CA 签名证书,请生成证书请求、将其发送至证书颁发机构,并将证书存储在每个 ESXi 主机上。

  • 如果需要,从 vSphere Web Client 启用 ESXi Shell 或启用 SSH 流量。请参见 vSphere 安全性出版物,了解有关启用对 ESXi Shell 访问的信息。

  • 所有的文件传输和其他通信均通过安全 HTTPS 会话进行。用于验证会话的用户必须在主机上拥有主机 > 配置 > 高级配置特权。请参见 vSphere 安全性出版物,了解有关通过角色分配特权的信息。

过程

  1. 以管理员权限用户的身份登录 ESXi Shell,可直接从 DCUI 登录,也可从 SSH 客户端登录。
  2. /etc/vmware/ssl 目录中,使用以下命令重命名现有证书。

    mv rui.crt orig.rui.crt
    mv rui.key orig.rui.key

  3. 将要使用的证书复制到 /etc/vmware/ssl
  4. 将新证书和密钥重命名为 rui.crtrui.key
  5. 安装新证书之后重新启动主机。

    或者也可以将主机置于维护模式,安装新证书,使用直接控制台用户界面 (DCUI) 重新启动管理代理,并将主机设置为退出维护模式。

下一步做什么

更新 vCenter Server TRUSTED_ROOTS 存储。请参见 vSphere 安全性出版物。