设置或更新证书基础架构所需的工作取决于您的环境中的要求。必须考虑执行全新安装还是升级,以及考虑使用 ESXi 还是 vCenter Server。
未替换 VMware 证书的管理员
VMCA 可以处理所有证书管理。VMCA 使用将 VMCA 用作根证书颁发机构的证书置备 vCenter Server 组件和 ESXi 主机。如果要从之前版本的 vSphere 升级到 vSphere 6,所有自签名证书都会替换为由 VMCA 签名的证书。
如果您当前未替换 VMware 证书,环境将开始使用 VMCA 签名的证书而非自签名证书。
将 VMware 证书替换为自定义证书的管理员
对于全新安装,如果公司策略需要第三方或企业 CA 签名的证书或需要自定义证书信息,则您有以下几种选择。
- 由第三方 CA 或企业 CA 签发 VMCA 根证书。将 VMCA 根证书替换为该签名证书。在这种情况下,VMCA 证书是中间证书。VMCA 使用包含完整证书链的证书置备 vCenter Server 组件和 ESXi 主机。
- 如果公司策略不允许证书链中出现中间证书,可以明确替换这些证书。可以使用 vSphere Client、vSphere Certificate Manager 实用程序,或使用证书管理 CLI 手动替换证书。
升级使用自定义证书的环境时,可以保留某些证书。
- ESXi 主机在升级过程中保留其自定义证书。确保 vCenter Server 升级过程将所有相关根证书添加到 vCenter Server 上的 VECS 中的 TRUSTED_ROOTS 存储。
升级到 vSphere 6.0 或更高版本之后,可以将证书模式设置为自定义。如果证书模式是默认的 VMCA,且用户从 vSphere Client 执行证书刷新,VMCA 签名证书将替换自定义证书。
- 如果将简单 vCenter Server 安装升级为嵌入式部署,vCenter Server 将保留自定义证书。升级后,环境的运行方式不变。将保留现有 vCenter Server 和 vCenter Single Sign-On 证书。这些证书将用作计算机 SSL 证书。此外,VMCA 将 VMCA 签名证书分配给每个解决方案用户(vCenter 服务的集合)。解决方案用户仅使用此证书对 vCenter Single Sign-On进行身份验证。公司策略通常不要求替换解决方案用户证书。
对于大多数证书管理任务,您可以使用命令行实用程序 vSphere Certificate Manager。
vSphere 证书界面
对于
vCenter Server,可以使用以下工具和界面查看和替换证书。
| 接口 | 适用情况 |
|---|---|
| vSphere Client | 使用图形用户界面执行常见证书任务。 |
| vSphere Automation API | 请参见《VMware vSphere Automation SDK 编程指南》。 |
| Certificate Manager 实用程序 | 从 vCenter Server 安装的命令行执行常见证书替换任务。 |
| 证书管理 CLI | 使用 dir-cli、certool 和 vecs-cli 执行所有证书管理任务。 |
| sso-config 实用程序 | 从 vCenter Server 安装的命令行执行 STS 证书管理。 |
| PowerCLI 12.4(需要使用 vSphere 7.0 或更高版本) | 执行可信证书存储管理,管理 vCenter Server 计算机 SSL 证书以及管理 ESXi 计算机 SSL 证书。 |
对于 ESXi,从 vSphere Client 执行证书管理。VMCA 会置备证书并将其存储在 ESXi 主机本地。VMCA 不将 ESXi 主机证书存储在 VMDIR 或 VECS 中。请参见《vSphere 安全性》文档。
受支持的 vCenter 证书
对于 vCenter Server 以及相关的计算机和服务,支持以下证书:
- 由 VMware Certificate Authority (VMCA) 生成和签名的证书。
- 自定义证书。
- 从内部 PKI 生成的企业证书。
- 由外部 PKI(如 Verisign、GoDaddy 等)生成的第三方 CA 签名证书。
使用不包含根 CA 的 OpenSSL 创建的自签名证书不受支持。
