您可以使用 vSphere Client 将默认证书替换为自定义证书。

您可以使用 vSphere Client 为每台计算机生成 CSR,并在收到来自内部或第三方证书颁发机构 (CA) 的证书时替换这些证书。将 CSR 提交给内部或第三方 CA 时,CA 返回已签名证书和根证书。您可以从 vSphere Client 同时上载根证书和已签名证书。

使用 vSphere Client 为计算机 SSL 证书生成证书签名请求(自定义证书)

计算机 SSL 证书由每个 vCenter Server 节点上的反向代理服务使用。每台计算机都必须拥有可用于与其他服务进行安全通信的计算机 SSL 证书。可以使用 vSphere Client 为计算机 SSL 证书生成证书签名请求 (CSR),并在准备就绪后替换该证书。

前提条件

证书必须满足以下要求:

  • 密钥大小:2048 位(最小值)到 16384 位(最大值)(PEM 编码)
  • CRT 格式
  • x509 版本 3
  • SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
  • 包含以下密钥用法:数字签名、密钥加密。
注: vSphere 的 FIPS 证书仅验证大小为 2048 位和 3072 位的 RSA 密钥。

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. 为 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到证书管理 UI。
    1. 主页菜单中,选择系统管理
    2. 证书下,单击证书管理
  4. 输入您的 vCenter Server 凭据。
  5. 生成 CSR。
    1. 计算机 SSL 证书图标下,单击操作 > 生成证书签名请求 (CSR)
    2. 输入证书信息,然后单击下一步
      2048 位是密钥大小的默认值。可以根据需要更改此值。
      注: 使用 vCenter Server 生成密钥大小为 16384 位的 CSR 时,生成需要几分钟才能完成,因为该操作具有 CPU 密集型特性。
    3. 复制或下载 CSR。
    4. 单击完成
    5. 向证书颁发机构提供 CSR。

下一步做什么

当证书颁发机构返回证书时,替换证书存储中的现有证书。请参见使用 vSphere Client 添加自定义证书

使用 vSphere Client 将可信根证书添加到证书存储

如果要在您的环境中使用第三方证书,则必须将可信根证书添加到证书存储。可以使用 vSphere Client 完成此操作。

前提条件

从第三方或内部证书颁发机构 (CA) 获取自定义根证书。

vSphere 仅接受有效的 CA 证书进行导入。为确保 CA 证书有效,CA 证书必须分别在基本限制和密钥用法 X.509 v3 证书扩展中设置 CA 位和 keyCertSign 位。这意味着该证书是 CA 证书,其用途是证书签名。有关详细信息,请参见 https://www.rfc-editor.org/rfc/rfc5280

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. 为 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到证书管理 UI。
    1. 主页菜单中,选择系统管理
    2. 证书下,单击证书管理
  4. 如果系统出现提示,请输入 vCenter Server 的凭据。
  5. 可信根证书下,单击添加
  6. 单击浏览并选择证书链的位置。
    可以使用 CER、PEM 或 CRT 类型的文件。
  7. 单击添加
    证书将添加到存储中。
    注: 在 vSphere 8.0 Update 2 中,移除了 开始将根证书推送到 vCenter 主机复选框。添加证书后, vCenter Server 会将根证书推送到清单中所有已连接的主机。如果连接的主机的根证书与 vCenter Server 不同, vCenter Server 会推送根证书进行更正。在这种情况下, vCenter Server 根证书会覆盖主机上的根证书,因此管理员可以确保将整个清单中所需的所有自定义根证书添加到 vCenter Server

使用 vSphere Client 添加自定义证书

可以使用 vSphere Client 将自定义计算机 SSL 证书添加到证书存储。

通常,替换每个组件的计算机 SSL 证书就已满足要求。

前提条件

为要替换的每个证书生成证书签名请求 (CSR)。请参见使用 vSphere Client 为计算机 SSL 证书生成证书签名请求(自定义证书)。在 vCenter Server 可以访问的位置中放置证书和专用密钥。

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. 为 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到证书管理 UI。
    1. 主页菜单中,选择系统管理
    2. 证书下,单击证书管理
  4. 如果系统出现提示,请输入 vCenter Server 的凭据。
  5. 计算机 SSL 证书图标下,单击操作 > 导入并替换证书
  6. 单击适当的证书替换选项,然后单击下一步
    选项 描述
    替换为 VMCA 创建 VMCA 生成的 CSR 以替换当前证书。
    替换为从 vCenter Server 生成的证书 使用通过 vCenter Server 生成的 CSR 签名的证书替换当前证书。
    替换为外部 CA 证书 (需要私钥) 使用外部 CA 签名的证书替换当前证书。
  7. 输入 CSR 信息,或上载相应的证书。