设置或更新 vSphere 证书基础架构所需的工作取决于您环境的要求。必须考虑执行全新安装还是升级,以及考虑使用 ESXi 还是 vCenter Server。
使用 VMware Certificate Authority 证书的环境
VMware Certificate Authority (VMCA) 可以处理所有证书管理。VMCA 使用将 VMCA 用作根证书颁发机构的证书置备 vCenter Server 组件和 ESXi 主机。如果要从之前版本的 vSphere 升级到 vSphere 6.0或更高版本,所有自签名证书都会替换为由 VMCA 签名的证书。
如果您当前未替换 VMware 证书,环境将开始使用 VMCA 签名的证书而非自签名证书。
使用自定义证书的环境
对于全新安装,如果公司策略需要第三方或企业证书颁发机构签名的证书或需要自定义证书信息,则您有以下几种选择。
- 由第三方 CA 或企业 CA 签发 VMCA 根证书。将 VMCA 根证书替换为该签名证书。在这种情况下,VMCA 证书是中间证书。VMCA 使用包含完整证书链的证书置备 vCenter Server 组件和 ESXi 主机。
- 如果公司策略不允许证书链中出现中间证书,可以明确替换这些证书。可以使用 vSphere Client、vSphere Certificate Manager 实用程序,或使用证书管理 CLI 手动替换证书。
升级使用自定义证书的环境时,可以保留某些证书。
- ESXi 主机在升级过程中保留其自定义证书。确保 vCenter Server 升级过程将所有相关根证书添加到 vCenter Server 上 VMware 端点证书存储 (VECS) 中的 TRUSTED_ROOTS 存储。
升级到 vSphere 6.0 或更高版本之后,可以将证书模式设置为自定义。如果证书模式是 VMCA(默认设置),则从 vSphere Client 执行证书刷新时,VMCA 签名证书将替换自定义证书。
- 如果将简单 vCenter Server 安装升级为嵌入式部署,vCenter Server 将保留自定义证书。升级后,环境的运行方式不变。将保留现有 vCenter Server 和 vCenter Single Sign-On 证书。这些证书将用作计算机 SSL 证书。此外,VMCA 将 VMCA 签名证书分配给每个解决方案用户(vCenter 服务的集合)。解决方案用户仅使用此证书对 vCenter Single Sign-On 进行身份验证。VMware 不建议替换解决方案用户证书。
vSphere 证书接口
对于
vCenter Server,可以使用以下工具和界面查看和替换证书。
接口 | 适用情况 |
---|---|
vSphere Client | 使用图形用户界面执行常见证书任务。 |
vSphere Automation API | 请参见《VMware vSphere Automation SDK 编程指南》。 |
vSphere Certificate Manager 实用程序 | 从 vCenter Server 安装的命令行执行常见证书替换任务。 |
vSphere 证书管理 CLI | 使用 dir-cli、certool 和 vecs-cli 执行所有证书管理任务。 |
sso-config 实用程序 | 从 vCenter Server 安装的命令行执行 STS 证书管理。 |
PowerCLI 12.4 或更高版本(还需要 vSphere 7.0 或更高版本) | 执行可信证书存储管理,管理 vCenter Server 计算机 SSL 证书以及管理 ESXi 计算机 SSL 证书。 |
对于 ESXi,从 vSphere Client 执行证书管理。VMCA 会置备证书并将其存储在 ESXi 主机本地。VMCA 不将 ESXi 主机证书存储在 VMDIR 或 VECS 中。请参见《vSphere 安全性》文档。
支持的 vCenter Server 证书
对于 vCenter Server 以及相关的计算机和服务,支持以下证书:
- 由 VMware Certificate Authority (VMCA) 生成和签名的证书。
- 自定义证书。
- 从内部 PKI 生成的企业证书。
- 由外部 PKI(如 Verisign、GoDaddy 等)生成的第三方 CA 签名证书。
使用不包含根 CA 的 OpenSSL 创建的自签名证书不受支持。