如果 VMCA 将证书分配给 ESXi 主机(6.0 及更高版本),则可以从 vSphere Client 续订这些证书。您还可以刷新与 vCenter Server 关联的 TRUSTED_ROOTS 存储中的所有证书。

如果您的证书即将过期,或者如果由于其他原因要使用新证书置备主机,则可以续订证书。如果在证书过期之前未续订证书,则断开主机连接后又将其重新连接时,会使 vCenter Server 续订证书。将主机重新添加到 vCenter Server 的行为将重新建立信任,并使 vCenter Server 无条件地颁发续订的证书。

默认情况下,每次将主机添加到清单或重新连接主机时,vCenter Server 都会续订状态为“已过期”、“立即过期”或“即将过期”的主机证书。

前提条件

确认以下情况:
  • ESXi 主机已连接到 vCenter Server 系统。
  • vCenter Server 系统与 ESXi 主机之间已正确同步时间。
  • 可在 vCenter Server 系统和 ESXi 主机之间进行 DNS 解析。
  • vCenter Server 系统的 MACHINE_SSL_CERT 和 Trusted_Root 证书有效且未过期。请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/2111411
  • ESXi 主机不处于维护模式。

过程

  1. vSphere Client 清单中,浏览到主机。
  2. 单击配置
  3. 系统下,单击证书
    可以查看有关所选主机证书的详细信息。
  4. 单击续订刷新 CA 证书
    选项 描述
    续订 从 VMCA 检索主机的全新签名证书。
    刷新 CA 证书 vCenter Server VECS 存储的 TRUSTED_ROOTS 存储中的所有证书推送到主机。
  5. 单击确认。