可以使用 vSphere Certificate Manager 实用程序将所有证书替换为自定义证书。开始此过程之前,必须向您的证书颁发机构 (CA) 发送 CSR。您可以使用 Certificate Manager 生成 CSR。
一种选择是仅使用 VMCA 置备的解决方案用户证书替换计算机 SSL 证书。解决方案用户证书仅用于 vSphere 组件之间的通信。
使用自定义证书时,将 VMCA 签名证书替换为自定义证书。可以使用 vSphere Client、vSphere Certificate Manager 实用程序或 CLI 进行手动证书替换。证书存储在 VECS 中。
要将所有证书替换为自定义证书,必须多次运行 vSphere Certificate Manager 实用程序。替换计算机 SSL 证书和解决方案用户证书的简要步骤包括:
- 启动 vSphere Certificate Manager 实用程序。
- 在每台计算机上分别为计算机 SSL 证书和解决方案用户证书生成证书签名请求。
- 要为计算机 SSL 证书生成 CSR,请选择选项 1“将计算机 SSL 证书替换为自定义证书”。再次提示输入选项时,请选择选项 1“为计算机 SSL 证书生成证书签名请求和密钥”。
- 如果公司策略不允许混合部署,请选择选项 5“将解决方案用户证书替换为自定义证书”。
- 将 CSR 提交给外部 CA 或企业 CA。您将从 CA 收到签名证书和根证书。
- 从 CA 收到签名证书和根证书后,使用选项 1“将计算机 SSL 证书替换为自定义证书”,替换每个计算机上的计算机 SSL 证书。
- 如果还希望替换解决方案用户证书,请选择选项 5“将解决方案用户证书替换为自定义证书”。
- 最后,当多个 vCenter Server 实例以增强型链接模式配置进行连接时,请在每个节点上重复该过程。
使用 Certificate Manager 生成证书签名请求(自定义证书)
您可以使用 vSphere Certificate Manager 实用程序生成证书签名请求 (CSR),然后可以将其用于企业 CA 或发送给外部证书颁发机构。您可以通过受支持的不同证书替换流程使用证书。
前提条件
vSphere Certificate Manager 会提示您输入信息。提示信息取决于您的环境以及要替换的证书类型。
- 生成任何 CSR 时,系统会提示您输入 [email protected] 用户的密码,或当前所连接的 vCenter Single Sign-On 域的管理员的密码。
- 系统将提示您输入 vCenter Server 的主机名或 IP 地址。
- 要为计算机 SSL 证书生成 CSR,您需要按提示提供证书属性,这些属性存储在 certool.cfg 文件中。对于大多数字段,可以接受默认值或提供特定于站点的值。计算机的 FQDN 为必需值。
注: 在 vSphere 8.0 及更高版本中,如果使用 vSphere Certificate Manager 生成 CSR,则最小密钥大小将从 2048 位更改为 3072 位。在 vSphere 8.0 Update 1 及更高版本中,使用 vSphere Client 生成密钥大小为 2048 位的 CSR。注: vSphere 的 FIPS 证书仅验证大小为 2048 位和 3072 位的 RSA 密钥。
过程
下一步做什么
要执行证书替换,请参见使用 Certificate Manager 将计算机 SSL 证书替换为自定义证书。
使用 Certificate Manager 将计算机 SSL 证书替换为自定义证书
您可以使用 vSphere Certificate Manager 实用程序将每个节点上的计算机 SSL 证书替换为自定义证书。计算机 SSL 证书由每个 vCenter Server 节点上的反向代理服务使用。每台计算机都必须拥有可用于与其他服务进行安全通信的计算机 SSL 证书。
前提条件
开始之前,您需要为环境中的每个计算机生成一个 CSR。您可以使用 vSphere Certificate Manager 生成 CSR 或明确生成 CSR。
- 要使用 vSphere Certificate Manager 生成 CSR,请参见使用 Certificate Manager 生成证书签名请求(自定义证书)。
- 要明确生成 CSR,请从第三方或企业 CA 为每个计算机请求一个证书。证书必须满足以下要求:
- 密钥大小:2048 位(最小长度)到 8192 位(最大长度)(PEM 编码)
- CRT 格式
- x509 版本 3
- SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
- 包含以下密钥用法:数字签名、密钥加密
另请参见 VMware 知识库文章(网址为 https://kb.vmware.com/s/article/2112014),了解如何从 Microsoft 证书颁发机构获取 vSphere 证书。
过程
使用 Certificate Manager 将解决方案用户证书替换为自定义证书
许多公司仅要求替换可从外部进行访问的服务的证书。但是,vSphere Certificate Manager 实用程序也支持替换解决方案用户证书。 解决方案用户是服务的集合,例如,与 vSphere Client 关联的所有服务。
当提示您输入解决方案用户证书时,请提供第三方 CA 的完整签名证书链。
-----BEGIN CERTIFICATE----- Signing certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- CA intermediate certificates -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Root certificate of enterprise or external CA -----END CERTIFICATE-----
前提条件
开始之前,您需要为环境中的每个计算机生成一个 CSR。您可以使用 vSphere Certificate Manager 生成 CSR 或明确生成 CSR。
- 要使用 vSphere Certificate Manager 生成 CSR,请参见使用 Certificate Manager 生成证书签名请求(自定义证书)。
- 从第三方或企业 CA 为每个节点上的每个解决方案用户请求一个证书。您可以使用 vSphere Certificate Manager 生成 CSR 或自己准备 CSR。CSR 必须满足以下要求:
- 密钥大小:2048 位(最小长度)到 8192 位(最大长度)(PEM 编码)
- CRT 格式
- x509 版本 3
- SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
-
每个解决方案用户证书必须具有不同的 Subject。例如,考虑包含解决方案用户名(如 vpxd)或其他唯一标识符。
- 包含以下密钥用法:数字签名、密钥加密
请参见位于 http://kb.vmware.com/kb/2112014 的 VMware 知识库文章,了解如何从 Microsoft 证书颁发机构获取 vSphere 证书。