某些密钥管理服务器 (KMS) 供应商要求将根 CA 证书上载到 KMS。随后,此 KMS 即会信任根 CA 签名的所有证书。

vSphere 虚拟机加密使用的根 CA 证书为自签名证书,它存储在 vCenter Server 系统上 VMware Endpoint 证书存储 (VECS) 的独立库中。

注: 仅当要替换现有证书时才生成根 CA 证书。如果执行此操作,根 CA 签名的其他证书将变为无效。可以在此工作流中生成新的根 CA 证书。

过程

  1. 导航到 vCenter Server
  2. 单击配置,然后选择安全下的密钥提供程序
  3. 选择要与之建立可信连接的密钥提供程序。
    此时将显示该密钥提供程序的 KMS。
  4. 建立信任下拉菜单中,选择使 KMS 信任 vCenter
  5. 选择 vCenter 根 CA 证书,然后单击下一步
    “下载根 CA 证书”对话框将填充 vCenter Server 用于加密的根证书。此证书存储在 VECS 中。
  6. 将证书复制到剪贴板,或将证书作为文件下载。
  7. 按照您的 KMS 供应商的说明,将证书上载到其系统中。
    注: 某些 KMS 供应商要求 KMS 供应商重新启动 KMS 以发现上载的根证书。

下一步做什么

完成证书交换。请参见完成标准密钥提供程序的信任设置