可以根据公司策略和正配置的系统的要求来执行不同类型的证书替换。可以使用 vSphere Certificate Manager 实用程序从 Platform Services Controller 执行证书替换,也可以通过使用安装中包含的 CLI 手动执行证书替换。

VMCA 包含在每个 Platform Services Controller 和每个嵌入式部署中。VMCA 可置备每个节点、每个 vCenter Server 解决方案用户,以及每个使用由 VMCA 签名的证书作为证书颁发机构的 ESXi 主机。vCenter Server 解决方案用户是 vCenter Server 服务组。

可以替换默认证书。对于 vCenter Server 组件,可以使用安装中包含的一组命令行工具。您具有多个选择。

替换为 VMCA 签名的证书

如果 VMCA 证书过期或由于其他原因要对其进行替换,可以使用证书管理 CLI 执行此过程。默认情况下,VMCA 根证书有效期为十年,且 VMCA 签名的所有证书都会在根证书过期时过期,即有效期最长为十年。

图 1. 由 VMCA 签名的证书存储在 VECS 中
在默认模式下,VMCA 使用由 VMCA 签名的证书进行置备
您可以使用以下 vSphere Certificate Manager 选项:
  • 将计算机 SSL 证书替换为 VMCA 证书
  • 将解决方案用户证书替换为 VMCA 证书

有关手动证书替换,请参见将现有 VMCA 签名证书替换为新的 VMCA 签名证书

使 VMCA 成为中间 CA

您可以将 VMCA 根证书替换为由企业 CA 或第三方 CA 签名的证书。VMCA 在每次置备证书时都会签署自定义根证书,从而使 VMCA 成为中间 CA。
注: 如果执行包含外部 Platform Services Controller 的全新安装,请首先安装 Platform Services Controller,并替换 VMCA 根证书。接下来,安装其他服务或将 ESXi 主机添加到环境中。如果执行包含嵌入式 Platform Services Controller 的全新安装,请在添加 ESXi 主机之前替换 VMCA 根证书。如果这样做,则 VMCA 会对整个链进行签名,且不必生成新证书。
图 2. 由第三方或企业 CA 签名的证书使用 VMCA 作为中间 CA
VMCA 证书作为中间证书包括在内。根证书由第三方 CA 签名。
您可以使用以下 vSphere Certificate Manager 选项:
  • 将 VMCA 根证书替换为自定义签名证书并替换所有证书
  • 将计算机 SSL 证书替换为 VMCA 证书(多节点部署)
  • 将解决方案用户证书替换为 VMCA 证书(多节点部署)

有关手动证书替换,请参见使用 VMCA 作为中间证书颁发结构

不要使用 VMCA,使用自定证书进行置备

您可以将现有的 VMCA 签名证书替换为自定义证书。如果使用此方法,则您必须负责置备和监控所有证书。

图 3. 外部证书直接存储在 VECS 中
外部证书直接存储在 VECS 中。VMCA 未使用。
您可以使用以下 vSphere Certificate Manager 选项:
  • 将计算机 SSL 证书替换为自定义证书
  • 将解决方案用户证书替换为自定义证书

有关手动证书替换,请参见在 vSphere 中使用自定义证书

您还可以使用 vSphere Client 为计算机 SSL 证书生成 CSR(自定义),并在 CA 返回 CSR 后替换证书。请参见使用 vSphere Client 为计算机 SSL 证书生成证书签名请求(自定义证书)

混合部署

您可以让 VMCA 提供一些证书,但对基础架构的其他部分使用自定义证书。例如,由于解决方案用户证书仅用于对 vCenter Single Sign-On 进行身份验证,请考虑让 VMCA 置备这些证书。将计算机 SSL 证书替换为自定义证书以确保所有 SSL 流量的安全。

公司策略通常不允许使用中间 CA。在这些情况下,混合部署是一种有效的解决方案。它会最大程度地减少要替换的证书数量并确保所有流量的安全。混合部署只保留内部流量,即解决方案用户流量,以便使用默认的 VMCA 签名证书。

ESXi 证书替换

对于 ESXi 主机,您可以从 vSphere Client 更改证书置备行为。有关详细信息,请参见《vSphere 安全性》文档。

表 1. ESXi 证书替换选项
选项 描述
VMware Certificate Authority 模式(默认值) vSphere Client 续订证书时,VMCA 将为主机颁发证书。如果已将 VMCA 根证书更改为包含证书链,则主机证书将包含完整链。
自定义证书颁发机构模式 允许您手动更新和使用未签名或由 VMCA 颁发的证书。
指纹模式 可用于在刷新期间保留 5.5 证书。仅在调试情况下临时使用此模式。