如果将 ESXi 主机升级到 ESXi 6.5 或更高版本,升级过程会将自签名(指纹)证书替换为 VMCA 签名证书。如果 ESXi 主机使用自定义证书,升级过程会保留这些证书,即使这些证书已过期或无效亦如此。
建议的升级工作流取决于当前证书。
- 使用指纹证书置备的主机
-
如果主机当前使用指纹证书,则在升级过程中会自动为其分配 VMCA 证书。
注: 无法使用 VMCA 证书置备旧版主机。必须将这些主机升级到 ESXi 6.5 或更高版本。
- 使用自定义证书置备的主机
-
如果主机使用自定义证书(通常是第三方 CA 签名的证书)置备,则这些证书在升级过程中将保留在原位。将证书模式更改为
自定义,以确保稍后在证书刷新过程中不会意外替换证书。
注: 如果环境处于 VMCA 模式下,且您在 vSphere Client 中刷新证书,则任何现有证书将替换为 VMCA 签名的证书。
从今往后,vCenter Server 将在 vSphere Client 中监控证书并显示有关证书到期等的信息。
- 使用 Auto Deploy 置备的主机
- 对于使用 Auto Deploy 置备的主机,在其首次使用 ESXi 6.5 或更高版本软件引导时,将始终为其分配新证书。当升级使用 Auto Deploy 置备的主机时,Auto Deploy 服务器将为主机生成证书签名请求 (CSR) 并将其提交至 VMCA。VMCA 将存储主机的签名证书。Auto Deploy 服务器置备主机时,将从 VMCA 中检索证书并将其作为置备过程的一部分。