设置或更新证书基础架构所需的工作取决于您的环境中的要求。必须考虑执行全新安装还是升级,以及考虑使用 ESXi 还是 vCenter Server。
未替换 VMware 证书的管理员
VMCA 可以处理所有证书管理。VMCA 使用将 VMCA 用作根证书颁发机构的证书置备 vCenter Server 组件和 ESXi 主机。如果要从之前版本的 vSphere 升级到 vSphere 6,所有自签名证书都会替换为由 VMCA 签名的证书。
如果您当前未替换 VMware 证书,环境将开始使用 VMCA 签名的证书而非自签名证书。
将 VMware 证书替换为自定义证书的管理员
对于全新安装,如果公司策略需要第三方或企业 CA 签名的证书或需要自定义证书信息,则您有以下几种选择。
- 由第三方 CA 或企业 CA 签发 VMCA 根证书。将 VMCA 根证书替换为该签名证书。在这种情况下,VMCA 证书是中间证书。VMCA 使用包含完整证书链的证书置备 vCenter Server 组件和 ESXi 主机。
- 如果公司策略不允许证书链中出现中间证书,可以明确替换这些证书。可以使用 vSphere Client、vSphere Certificate Manager 实用程序,或使用证书管理 CLI 手动替换证书。
升级使用自定义证书的环境时,可以保留某些证书。
- ESXi主机在升级过程中保留其自定义证书。确保 vCenter Server 升级过程将所有相关根证书添加到 vCenter Server 上的 VECS 中的 TRUSTED_ROOTS 存储。
升级到 vSphere 6.0 或更高版本之后,可以将证书模式设置为自定义。如果证书模式是默认的 VMCA,且用户从 vSphere Client 执行证书刷新,VMCA 签名证书将替换自定义证书。
- 对于 vCenter Server 组件,具体取决于现有环境。
- 如果将简单安装升级为嵌入式部署,vCenter Server 将保留自定义证书。升级后,环境的运行方式不变。
- 如果升级多站点部署,vCenter Single Sign-On 可与其他 vCenter Server 组件位于不同计算机上。在这种情况下,升级过程会创建包含一个 Platform Services Controller 节点和一个或多个管理节点的多节点部署。
此方案将保留现有 vCenter Server 和 vCenter Single Sign-On 证书。这些证书将用作计算机 SSL 证书。
此外,VMCA 将 VMCA 签名证书分配给每个解决方案用户(vCenter 服务的集合)。解决方案用户仅使用此证书对 vCenter Single Sign-On 进行身份验证。公司策略通常不要求替换解决方案用户证书。
不再使用适用于 vSphere 5.5 安装的 vSphere 5.5 证书替换工具。新架构导致不同服务分布和放置。新命令行实用程序 vSphere Certificate Manager 适用于大多数证书管理任务。
vSphere 证书界面
| 接口 | 适用情况 |
|---|---|
| vSphere Client | 使用图形用户界面执行常见证书任务。 |
| vSphere Certificate Manager 实用程序 | 从 vCenter Server 安装的命令行执行常见证书替换任务。 |
| 证书管理 CLI | 使用 dir-cli、certool 和 vecs-cli 执行所有证书管理任务。 |
| vSphere Web Client | 查看证书,包括过期信息。 |
对于 ESXi,从 vSphere Client 执行证书管理。VMCA 会置备证书并将其存储在 ESXi 主机本地。VMCA 不将 ESXi 主机证书存储在 VMDIR 或 VECS 中。请参见《vSphere 安全性》文档。
受支持的 vCenter 证书
对于 vCenter Server、Platform Services Controller 及相关的计算机和服务,支持以下证书:
- 由 VMware Certificate Authority (VMCA) 生成和签名的证书。
- 自定义证书。
- 从内部 PKI 生成的企业证书。
- 由外部 PKI(如 Verisign、GoDaddy 等)生成的第三方 CA 签名证书。
使用不包含根 CA 的 OpenSSL 创建的自签名证书不受支持。
