可以根据公司策略和正配置的系统的要求来执行不同类型的证书替换。可以使用 vSphere Certificate Manager 实用程序从 vSphere Client 执行证书替换,也可以通过使用安装中包含的 CLI 手动执行证书替换。
VMware Certificate Authority (VMCA) 包含在每个 vCenter Server 部署中。VMCA 使用由 VMCA 作为证书颁发机构签名的证书置备每个节点、每个 vCenter Server 解决方案用户和每个 ESXi 主机。
可以替换默认证书。对于 vCenter Server 组件,可以使用安装中包含的一组命令行工具。您具有多个选择。
将证书替换为 VMCA 签名证书
如果 VMCA 证书过期或由于其他原因要对其进行替换,可以使用证书管理 CLI 执行此过程。默认情况下,VMCA 根证书有效期为十年,且 VMCA 签名的所有证书都会在根证书过期时过期,即有效期最长为十年。
- 将计算机 SSL 证书替换为 VMCA 证书
- 将解决方案用户证书替换为 VMCA 证书
有关手动证书替换,请参见使用 CLI 将现有 VMCA 签名证书替换为新的 VMCA 签名证书。
使 VMCA 成为中间证书颁发机构
- 将 VMCA 根证书替换为自定义签名证书并替换所有证书
- 将计算机 SSL 证书替换为 VMCA 证书(多节点增强型链接模式部署)
- 将解决方案用户证书替换为 VMCA 证书(多节点增强型链接模式部署)
有关手动证书替换,请参见使用 CLI 将 VMCA 设为中间证书颁发机构。
将 VMCA 签名证书替换为自定义证书
您可以将现有的 VMCA 签名证书替换为自定义证书。如果使用此方法,则您必须负责置备和监控所有证书。
- 将计算机 SSL 证书替换为自定义证书
- 将解决方案用户证书替换为自定义证书
有关手动证书替换,请参见使用 CLI 将证书替换为自定义证书。
您还可以使用 vSphere Client 为计算机 SSL 证书生成 CSR(自定义),并在 CA 返回 CSR 后替换证书。请参见使用 vSphere Client 为计算机 SSL 证书生成证书签名请求(自定义证书)。
使用混合方法部署证书
在混合方法中,可以让 VMCA 提供一些证书,但对基础架构的其他部分使用自定义证书。例如,由于解决方案用户证书仅用于对 vCenter Single Sign-On 进行身份验证,请考虑让 VMCA 置备这些证书。将计算机 SSL 证书替换为自定义证书以确保所有 SSL 流量的安全。
公司策略通常不允许使用中间 CA。在这些情况下,混合部署是一种有效的解决方案。它会最大程度地减少要替换的证书数量并确保所有流量的安全。混合部署只保留内部流量,即解决方案用户流量,以便使用默认的 VMCA 签名证书。
有关详细信息,请参见标题为“New Product Walkthrough - Hybrid vSphere SSL Certificate Replacement”的博客帖子,网址为 http://vmware.com/go/hybridvmca。
ESXi 证书替换
对于 ESXi 主机,您可以从 vSphere Client 更改证书置备行为。有关详细信息,请参见《vSphere 安全性》文档。
| 选项 | 描述 |
|---|---|
| VMware Certificate Authority 模式(默认值) | 从 vSphere Client 续订证书时,VMCA 将为主机颁发证书。如果已将 VMCA 根证书更改为包含证书链,则主机证书将包含完整链。 |
| 自定义证书颁发机构模式 | 允许您手动更新和使用未签名或由 VMCA 颁发的证书。 |
| 指纹模式 | 可用于在刷新期间保留 5.5 证书。仅在调试情况下临时使用此模式。 |
