设置或更新证书基础架构所需的工作取决于您的环境中的要求。必须考虑执行全新安装还是升级,以及考虑使用 ESXi 还是 vCenter Server

未替换 VMware 证书的管理员

VMCA 可以处理所有证书管理。VMCA 使用将 VMCA 用作根证书颁发机构的证书置备 vCenter Server 组件和 ESXi 主机。如果要从之前版本的 vSphere 升级到 vSphere 6,所有自签名证书都会替换为由 VMCA 签名的证书。

如果您当前未替换 VMware 证书,环境将开始使用 VMCA 签名的证书而非自签名证书。

将 VMware 证书替换为自定义证书的管理员

对于全新安装,如果公司策略需要第三方或企业 CA 签名的证书或需要自定义证书信息,则您有以下几种选择。

  • 由第三方 CA 或企业 CA 签发 VMCA 根证书。将 VMCA 根证书替换为该签名证书。在这种情况下,VMCA 证书是中间证书。VMCA 使用包含完整证书链的证书置备 vCenter Server 组件和 ESXi 主机。
  • 如果公司策略不允许证书链中出现中间证书,可以明确替换这些证书。可以使用 vSphere Client、vSphere Certificate Manager 实用程序,或使用证书管理 CLI 手动替换证书。

升级使用自定义证书的环境时,可以保留某些证书。

  • ESXi 主机在升级过程中保留其自定义证书。确保 vCenter Server 升级过程将所有相关根证书添加到 vCenter Server 上的 VECS 中的 TRUSTED_ROOTS 存储。

    升级到 vSphere 6.0 或更高版本之后,可以将证书模式设置为自定义。如果证书模式是默认的 VMCA,且用户从 vSphere Client 执行证书刷新,VMCA 签名证书将替换自定义证书。

  • 如果将简单 vCenter Server 安装升级为嵌入式部署,vCenter Server 将保留自定义证书。升级后,环境的运行方式不变。将保留现有 vCenter ServervCenter Single Sign-On 证书。这些证书将用作计算机 SSL 证书。此外,VMCA 将 VMCA 签名证书分配给每个解决方案用户(vCenter 服务的集合)。解决方案用户仅使用此证书对 vCenter Single Sign-On进行身份验证。公司策略通常不要求替换解决方案用户证书。

    对于大多数证书管理任务,您可以使用命令行实用程序 vSphere Certificate Manager。

vSphere 证书界面

对于 vCenter Server,可以使用以下工具和界面查看和替换证书。
表 1. 用于管理 vCenter Server 证书的界面
接口 适用情况
vSphere Client 使用图形用户界面执行常见证书任务。
vSphere Automation API 请参见《VMware vSphere Automation SDK 编程指南》
Certificate Manager 实用程序 vCenter Server 安装的命令行执行常见证书替换任务。
证书管理 CLI 使用 dir-clicertoolvecs-cli 执行所有证书管理任务。
sso-config 实用程序 vCenter Server 安装的命令行执行 STS 证书管理。
PowerCLI 12.4(需要使用 vSphere 7.0 或更高版本) 执行可信证书存储管理,管理 vCenter Server 计算机 SSL 证书以及管理 ESXi 计算机 SSL 证书。

对于 ESXi,从 vSphere Client 执行证书管理。VMCA 会置备证书并将其存储在 ESXi 主机本地。VMCA 不将 ESXi 主机证书存储在 VMDIR 或 VECS 中。请参见《vSphere 安全性》文档。

受支持的 vCenter 证书

对于 vCenter Server 以及相关的计算机和服务,支持以下证书:

  • 由 VMware Certificate Authority (VMCA) 生成和签名的证书。
  • 自定义证书。
    • 从内部 PKI 生成的企业证书。
    • 由外部 PKI(如 Verisign、GoDaddy 等)生成的第三方 CA 签名证书。

使用不包含根 CA 的 OpenSSL 创建的自签名证书不受支持。