设置或更新证书基础架构所需的工作取决于您的环境中的要求。必须考虑执行全新安装还是升级,以及考虑使用 ESXi 还是 vCenter Server

未替换 VMware 证书的管理员

VMCA 可以处理所有证书管理。VMCA 使用将 VMCA 用作根证书颁发机构的证书置备 vCenter Server 组件和 ESXi 主机。如果要从之前版本的 vSphere 升级到 vSphere 6,所有自签名证书都会替换为由 VMCA 签名的证书。

如果您当前未替换 VMware 证书,环境将开始使用 VMCA 签名的证书而非自签名证书。

将 VMware 证书替换为自定义证书的管理员

对于全新安装,如果公司策略需要第三方或企业 CA 签名的证书或需要自定义证书信息,则您有以下几种选择。

  • 由第三方 CA 或企业 CA 签发 VMCA 根证书。将 VMCA 根证书替换为该签名证书。在这种情况下,VMCA 证书是中间证书。VMCA 使用包含完整证书链的证书置备 vCenter Server 组件和 ESXi 主机。
  • 如果公司策略不允许证书链中出现中间证书,可以明确替换这些证书。可以使用 vSphere Client、vSphere Certificate Manager 实用程序,或使用证书管理 CLI 手动替换证书。

升级使用自定义证书的环境时,可以保留某些证书。

  • ESXi主机在升级过程中保留其自定义证书。确保 vCenter Server 升级过程将所有相关根证书添加到 vCenter Server 上的 VECS 中的 TRUSTED_ROOTS 存储。

    升级到 vSphere 6.0 或更高版本之后,可以将证书模式设置为自定义。如果证书模式是默认的 VMCA,且用户从 vSphere Client 执行证书刷新,VMCA 签名证书将替换自定义证书。

  • 对于 vCenter Server 组件,具体取决于现有环境。
    • 如果将简单安装升级为嵌入式部署,vCenter Server 将保留自定义证书。升级后,环境的运行方式不变。
    • 如果升级多站点部署,vCenter Single Sign-On 可与其他 vCenter Server 组件位于不同计算机上。在这种情况下,升级过程会创建包含一个 Platform Services Controller 节点和一个或多个管理节点的多节点部署。

      此方案将保留现有 vCenter ServervCenter Single Sign-On 证书。这些证书将用作计算机 SSL 证书。

      此外,VMCA 将 VMCA 签名证书分配给每个解决方案用户(vCenter 服务的集合)。解决方案用户仅使用此证书对 vCenter Single Sign-On 进行身份验证。公司策略通常不要求替换解决方案用户证书。

    不再使用适用于 vSphere 5.5 安装的 vSphere 5.5 证书替换工具。新架构导致不同服务分布和放置。新命令行实用程序 vSphere Certificate Manager 适用于大多数证书管理任务。

vSphere 证书界面

对于 vCenter Server,可以使用以下工具和界面查看和替换证书。
表 1. 用于管理 vCenter Server 证书的界面
接口 适用情况
vSphere Client 使用图形用户界面执行常见证书任务。
vSphere Certificate Manager 实用程序 vCenter Server 安装的命令行执行常见证书替换任务。
证书管理 CLI 使用 dir-clicertoolvecs-cli 执行所有证书管理任务。
vSphere Web Client 查看证书,包括过期信息。

对于 ESXi,从 vSphere Client 执行证书管理。VMCA 会置备证书并将其存储在 ESXi 主机本地。VMCA 不将 ESXi 主机证书存储在 VMDIR 或 VECS 中。请参见《vSphere 安全性》文档。

受支持的 vCenter 证书

对于 vCenter ServerPlatform Services Controller 及相关的计算机和服务,支持以下证书:

  • 由 VMware Certificate Authority (VMCA) 生成和签名的证书。
  • 自定义证书。
    • 从内部 PKI 生成的企业证书。
    • 由外部 PKI(如 Verisign、GoDaddy 等)生成的第三方 CA 签名证书。

使用不包含根 CA 的 OpenSSL 创建的自签名证书不受支持。