计算机 SSL 证书由每个管理节点上的反向代理服务、Platform Services Controller 和嵌入式部署使用。每台计算机都必须拥有可用于与其他服务进行安全通信的计算机 SSL 证书。可以将每个节点上的证书替换为自定义证书。

前提条件

开始之前,您需要为环境中的每个计算机生成一个 CSR。您可以使用 vSphere Certificate Manager 生成 CSR 或明确生成 CSR。
  1. 要使用 vSphere Certificate Manager 生成 CSR,请参见使用 vSphere 证书管理器生成证书签名请求(自定义证书)
  2. 要明确生成 CSR,请从第三方或企业 CA 为每个计算机请求一个证书。证书必须满足以下要求:
    • 密钥大小:2048 位或更大(PEM 编码)
    • CRT 格式
    • x509 版本 3
    • SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
    • 包含以下密钥用法:数字签名、密钥加密。
注: 不要在任何自定义证书中使用 CRL 分发点、授权信息访问或证书模板信息。

请参见位于 http://kb.vmware.com/kb/2112014 的 VMware 知识库文章,了解如何从 Microsoft 证书颁发机构获取 vSphere 证书。

过程

  1. 启动 vSphere Certificate Manager 并选择选项 1。
  2. 选择选项 2 开始证书替换并根据提示提供信息。
    vSphere Certificate Manager 提示您输入以下信息:
    • [email protected] 的密码。
    • 有效的计算机 SSL 自定义证书(.crt 文件)。
    • 有效的计算机 SSL 自定义密钥(.key 文件)。
    • 有效的自定义计算机 SSL 证书的签名证书(.crt 文件)。
    • 如果是在多节点部署中的管理节点中运行命令,则提示您输入 Platform Services Controller 的 IP 地址。

下一步做什么

如果从 vSphere 5.x 环境升级,可能必须替换 vmdir 中的 vCenter Single Sign-On 证书。请参见在混合模式环境中替换 VMware Directory Service 证书