可以根据公司策略和正配置的系统的要求来执行不同类型的证书替换。可以使用 vSphere Certificate Manager 实用程序从 Platform Services Controller 执行证书替换,也可以通过使用安装中包含的 CLI 手动执行证书替换。
VMCA 包含在每个 Platform Services Controller 和每个嵌入式部署中。VMCA 可置备每个节点、每个 vCenter Server 解决方案用户,以及每个使用由 VMCA 签名的证书作为证书颁发机构的 ESXi 主机。vCenter Server 解决方案用户是 vCenter Server 服务组。
可以替换默认证书。对于 vCenter Server 组件,可以使用安装中包含的一组命令行工具。您具有多个选择。
替换为 VMCA 签名的证书
如果 VMCA 证书过期或由于其他原因要对其进行替换,可以使用证书管理 CLI 执行此过程。默认情况下,VMCA 根证书有效期为十年,且 VMCA 签名的所有证书都会在根证书过期时过期,即有效期最长为十年。
- 将计算机 SSL 证书替换为 VMCA 证书
- 将解决方案用户证书替换为 VMCA 证书
有关手动证书替换,请参见将现有 VMCA 签名证书替换为新的 VMCA 签名证书。
使 VMCA 成为中间 CA
- 将 VMCA 根证书替换为自定义签名证书并替换所有证书
- 将计算机 SSL 证书替换为 VMCA 证书(多节点部署)
- 将解决方案用户证书替换为 VMCA 证书(多节点部署)
有关手动证书替换,请参见使用 VMCA 作为中间证书颁发结构。
不要使用 VMCA,使用自定证书进行置备
您可以将现有的 VMCA 签名证书替换为自定义证书。如果使用此方法,则您必须负责置备和监控所有证书。
- 将计算机 SSL 证书替换为自定义证书
- 将解决方案用户证书替换为自定义证书
有关手动证书替换,请参见在 vSphere 中使用自定义证书。
您还可以使用 vSphere Client 为计算机 SSL 证书生成 CSR(自定义),并在 CA 返回 CSR 后替换证书。请参见使用 vSphere Client 为计算机 SSL 证书生成证书签名请求(自定义证书)。
混合部署
您可以让 VMCA 提供一些证书,但对基础架构的其他部分使用自定义证书。例如,由于解决方案用户证书仅用于对 vCenter Single Sign-On 进行身份验证,请考虑让 VMCA 置备这些证书。将计算机 SSL 证书替换为自定义证书以确保所有 SSL 流量的安全。
公司策略通常不允许使用中间 CA。在这些情况下,混合部署是一种有效的解决方案。它会最大程度地减少要替换的证书数量并确保所有流量的安全。混合部署只保留内部流量,即解决方案用户流量,以便使用默认的 VMCA 签名证书。
ESXi 证书替换
对于 ESXi 主机,您可以从 vSphere Client 更改证书置备行为。有关详细信息,请参见《vSphere 安全性》文档。
选项 | 描述 |
---|---|
VMware Certificate Authority 模式(默认值) | 从 vSphere Client 续订证书时,VMCA 将为主机颁发证书。如果已将 VMCA 根证书更改为包含证书链,则主机证书将包含完整链。 |
自定义证书颁发机构模式 | 允许您手动更新和使用未签名或由 VMCA 颁发的证书。 |
指纹模式 | 可用于在刷新期间保留 5.5 证书。仅在调试情况下临时使用此模式。 |