如果将 ESXi 主机设置为使用自定义证书,则必须在管理主机的 vCenter Server 系统上更新 TRUSTED_ROOTS 存储。

前提条件

将每台主机上的证书替换为自定义证书。

注: 如果 vCenter Server 系统所使用的自定义证书的 CA 颁发方与 ESXi 主机上安装证书的相同,则不需要此步骤。

过程

  1. 登录到管理 ESXi 主机的 vCenter Server 系统的 vCenter Server shell。
  2. 要将新证书添加到 TRUSTED_ROOTS 存储,运行 dir-cli,例如:
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish path_to_RootCA
  3. 出现提示时,提供 Single Sign-On 管理员凭据。
  4. 如果您的自定义证书由中间 CA 颁发,您还必须将中间 CA 添加到 vCenter Server 上的 TRUSTED_ROOTS 存储,例如:
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish path_to_intermediateCA

后续步骤

将证书模式设置为“自定义”。如果证书模式是默认值 VMCA,则执行证书刷新时,自定义证书将替换为 VMCA 签名的证书。请参见更改证书模式