您可以使用 vSphere Client 将默认证书替换为自定义证书。

您可以使用 vSphere Client 为每台计算机生成 CSR,并在收到来自内部或第三方证书颁发机构 (CA) 的证书时替换这些证书。将 CSR 提交给内部或第三方 CA 时,CA 返回已签名证书和根证书。您可以从 vSphere Client 同时上载根证书和已签名证书。

使用 vSphere Client 为计算机 SSL 证书生成证书签名请求(自定义证书)

计算机 SSL 证书由每个 vCenter Server 节点上的反向代理服务使用。每台计算机都必须拥有可用于与其他服务进行安全通信的计算机 SSL 证书。可以使用 vSphere Client 为计算机 SSL 证书生成证书签名请求 (CSR),并在准备就绪后替换该证书。

前提条件

证书必须满足以下要求:

  • 密钥大小:2048 位(最小长度)到 8192 位(最大长度)(PEM 编码)。生成证书签名请求时,vSphere Client 和 API 仍接受最大为 16384 位的密钥大小。
  • CRT 格式
  • x509 版本 3
  • SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
  • 包含以下密钥用法:数字签名、密钥加密
注: vSphere 的 FIPS 证书仅验证大小为 2048 位和 3072 位的 RSA 密钥。

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到证书管理 UI。
    1. 主页菜单中,选择系统管理
    2. 证书下,单击证书管理
  4. 输入您的 vCenter Server 凭据。
  5. 生成 CSR。
    1. 计算机 SSL 选项卡下,选择所需的证书,然后单击生成证书签名请求 (CSR)
    2. 输入证书信息,然后单击下一步
      2048 位是密钥大小的默认值。可以根据需要更改此值。
      注: 使用 vCenter Server 生成密钥大小较大的 CSR 时,生成操作需要几分钟才能完成,因为该操作具有 CPU 密集型特性。
    3. 复制或下载 CSR。
    4. 单击完成
    5. 向证书颁发机构提供 CSR。

下一步做什么

当证书颁发机构返回证书时,替换证书存储中的现有证书。请参见使用 vSphere Client 添加自定义证书

使用 vSphere Client 将可信根证书添加到证书存储

如果要在您的环境中使用第三方证书,则必须将可信根证书添加到证书存储。可以使用 vSphere Client 完成此操作。

前提条件

从第三方或内部证书颁发机构 (CA) 获取自定义根证书。

vSphere 仅接受有效的 CA 证书进行导入。为确保 CA 证书有效,CA 证书必须分别在基本限制和密钥用法 X.509 v3 证书扩展中设置 CA 位和 keyCertSign 位。这意味着该证书是 CA 证书,其用途是证书签名。有关详细信息,请参见 https://www.rfc-editor.org/rfc/rfc5280

确保为链中的所有证书设置了 keyCertSign 位。

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到证书管理 UI。
    1. 主页菜单中,选择系统管理
    2. 证书下,单击证书管理
  4. 如果系统出现提示,请输入 vCenter Server 的凭据。
  5. 可信根证书选项卡下,单击添加可信根证书
  6. 单击浏览并选择证书链的位置。
    可以使用 CER、PEM 或 CRT 类型的文件。
  7. 单击添加
    证书将添加到存储中。
    注: 在 vSphere 8.0 Update 2 及更高版本中,移除了 启动将根证书推送到 vCenter 主机复选框。添加证书后, vCenter Server 会将根证书推送到清单中所有已连接的主机。如果连接的主机的根证书与 vCenter Server 的不同, vCenter Server 会推送根证书进行更正。在这种情况下, vCenter Server 根证书会覆盖主机上的根证书,因此管理员可以确保将整个清单中所需的所有自定义根证书添加到 vCenter Server

使用 vSphere Client 添加自定义证书

可以使用 vSphere Client 将自定义计算机 SSL 证书添加到证书存储。

通常,替换每个组件的计算机 SSL 证书就已满足要求。

前提条件

为要替换的每个证书生成证书签名请求 (CSR)。请参见使用 vSphere Client 为计算机 SSL 证书生成证书签名请求(自定义证书)。在 vCenter Server 可以访问的位置中放置证书和专用密钥。

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到证书管理 UI。
    1. 主页菜单中,选择系统管理
    2. 证书下,单击证书管理
  4. 如果系统出现提示,请输入 vCenter Server 的凭据。
  5. 计算机 SSL 选项卡下,选择证书,然后单击导入并替换证书
  6. 单击适当的证书替换选项,然后单击下一步
    选项 描述
    替换为 VMCA 证书 创建 VMCA 生成的 CSR 以替换当前证书。
    替换为从 vCenter Server 生成 CSR 的外部 CA 证书(嵌入私钥) 使用通过 vCenter Server 生成的 CSR 签名的证书替换当前证书。
    替换为外部 CA 证书 (需要私钥) 使用外部 CA 签名的证书替换当前证书。
  7. 输入 CSR 信息,或上载相应的证书。
  8. 单击该复选框以确认您已备份 vCenter Server 及其数据库。
  9. 检查信息,然后单击完成
    系统将替换证书并显示一条成功消息。
  10. 当显示证书已更改消息时,单击刷新以刷新浏览器。

生成 VMCA 分支证书

可以生成由 VMware Certificate Authority (VMCA) 签名的分支证书,以在 VMware 基础架构中使用。

除了处理所有证书管理之外,VMware Certificate Authority (VMCA) 还可以生成分支证书。分支证书由 VMCA 签名,用于标识其他 VMware 资源。VMCA 生成的分支证书不存储在 VECS 中。此外,vCenter Server 不会跟踪这些分支证书的过期时间。

前提条件

在要安装分支证书的 VMware 基础架构中的主机上生成证书签名请求 (CSR)。

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到证书管理 UI。
    1. 主页菜单中,选择系统管理
    2. 证书下,单击证书管理
  4. 如果系统出现提示,请输入 vCenter Server 的凭据。
  5. 可信根证书选项卡下,选择 VMCA 根证书,然后单击签发新的分支证书
  6. 浏览到之前生成的 CSR,指定持续时间,然后单击下一步
  7. 单击下载证书以保存分支证书和根证书。

结果

系统会创建生成的分支证书和根证书,并将其下载到指定位置。

下一步做什么

将分支证书和根证书导入到 VMware 基础架构中的目标主机。