您公司的安全策略可能要求您在每台主机上将默认的 ESXi SSL 证书替换为第三方 CA 签名的证书。
默认情况下,vSphere 组件使用在安装过程中创建的 VMCA 签名证书和密钥。如果意外删除 VMCA 签名证书,请从其 vCenter Server 系统中移除该主机,然后再重新添加该主机。在添加主机时,vCenter Server 会请求由 VMCA 颁发的新证书,并使用该证书置备主机。
如果公司策略有相关要求,则可以将 VMCA 签名证书替换为由受信任的 CA(商业 CA 或组织 Ca)颁发的证书。
默认证书位于与 vSphere 5.5 证书相同的位置。您可以通过各种方式将默认证书替换为受信任的证书。
注: 您也可以使用 vSphere Web Services SDK 中的
vim.CertificateManager 和
vim.host.CertificateManager 受管对象。请参见 vSphere Web Services SDK 文档。
替换证书后,您必须在管理主机的 vCenter Server 系统上更新 VECS 中的 TRUSTED_ROOTS 存储,以确保 vCenter Server 和 ESXi 主机建立信任关系。
有关对 ESXi 主机使用 CA 签名证书的详细说明,请参见 证书模式切换工作流。
注: 如果要替换属于 vSAN 集群的
ESXi 主机上的 SSL 证书,请按照 VMware 知识库文章 (
https://kb.vmware.com/s/article/56441) 中的步骤进行操作。
