计算机 SSL 证书由每个 vCenter Server 节点上的反向代理服务使用。每台计算机都必须拥有可用于与其他服务进行安全通信的计算机 SSL 证书。可以将每个节点上的证书替换为自定义证书。

前提条件

开始之前,您需要为环境中的每个计算机生成一个 CSR。您可以使用 vSphere Certificate Manager 生成 CSR 或明确生成 CSR。

  1. 要使用 vSphere Certificate Manager 生成 CSR,请参见使用 vSphere Certificate Manager 生成证书签名请求(自定义证书)
  2. 要明确生成 CSR,请从第三方或企业 CA 为每个计算机请求一个证书。证书必须满足以下要求:
    • 密钥大小:2048 位(最小值)到 16384 位(最大值)(PEM 编码)
    • CRT 格式
    • x509 版本 3
    • SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
    • 包含以下密钥用法:数字签名、密钥加密。

请参见位于 http://kb.vmware.com/kb/2112014 的 VMware 知识库文章,了解如何从 Microsoft 证书颁发机构获取 vSphere 证书。

过程

  1. 启动 vSphere Certificate Manager 并选择选项 1。
  2. 选择选项 2 开始证书替换并根据提示提供信息。
    vSphere Certificate Manager 提示您输入以下信息:
    • [email protected] 的密码
    • 有效的计算机 SSL 自定义证书(.crt 文件)
    • 有效的计算机 SSL 自定义密钥(.key 文件)
    • 自定义计算机 SSL 证书的有效签名证书(.crt 文件)
    • vCenter Server 的 IP 地址