某些 KMS 供应商（例如 SafeNet）要求将 root CA 证书上载到 KMS。随后，此 KMS 即会信任 root CA 签名的所有证书。

关于此任务

vSphere 虚拟机加密使用的 root CA 证书为自签名证书，它存储在 vCenter Server 系统上 VMware Endpoint 证书存储 (VECS) 的独立库中。

注：

仅当要替换现有证书时才生成 root CA 证书。如果执行此操作，root CA 签名的其他证书将变为无效。可以在此工作流中生成新的 root CA 证书。

1. 登录到 vSphere Web Client，并选择 vCenter Server 系统。
2. 单击配置，然后选择密钥管理服务器。
3. 选择要与之建立信任连接的 KMS 实例。
4. 选择 root CA 证书，然后单击确定。

   “下载 root CA 证书”对话框将填充 vCenter Server 用于加密的 root 证书。此证书存储在 VECS 中。

5. 将证书复制到剪贴板，或将证书作为文件下载。
6. 按照您的 KMS 供应商的说明，将证书上载到其系统中。
   注：

   某些 KMS 供应商（例如 SafeNet）要求 KMS 供应商重新启动 KMS 以发现上载的 root 证书。

下一步做什么

完成证书交换。请参见完成信任设置。