默认情况下,Auto Deploy 服务器使用 VMware Certificate Authority (VMCA) 签名的证书置备每个主机。您可以将 Auto Deploy 服务器设置为使用未经 VMCA 签名的自定义证书置备所有主机。在这种情况下,Auto Deploy 服务器将成为第三方证书颁发机构 (CA) 机构的辅助证书颁发机构。

前提条件

  • 向您的 CA 请求证书。证书必须满足以下要求。
    • 密钥大小:2048 位(最小长度)到 8192 位(最大长度)(PEM 编码)
    • PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8。
    • x509 版本 3
    • 对于根证书,CA 扩展必须设置为 true,并且 cert 签名必须在要求列表中。
    • SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
    • CRT 格式
    • 包含以下密钥用法:数字签名、密钥加密
    • 比当前时间早一天的开始时间。
    • CN(和 SubjectAltName)设置为 vCenter Server 清单中的 ESXi 主机的主机名(或 IP 地址)。
    注: vSphere 的 FIPS 证书仅验证 2048 和 3072 的 RSA 密钥大小。请参见 使用 FIPS 时的注意事项
  • 将证书和密钥文件分别命名为 rbd-ca.crtrbd-ca.key

过程

  1. 备份默认的 ESXi 证书。
    证书位于 /etc/vmware-rbd/ssl/ 目录中。
  2. 停止 vSphere Authentication Proxy 服务。
    工具 步骤
    vCenter Server 管理界面
    1. 在 Web 浏览器中,输入 https://vCenter Server vcenter-IP-address-or-FQDN:5480 转至 管理界面。
    2. 以 root 用户身份登录。

      默认 root 密码是您在部署 vCenter Server 时设置的密码。

    3. 依次单击服务VMware vSphere Authentication Proxy.
    4. 单击停止
    CLI
    service-control --stop vmcam
    
  3. 在运行 Auto Deploy 服务的系统上,将 /etc/vmware-rbd/ssl/ 中的 rbd-ca.crtrbd-ca.key 替换为您的自定义证书和密钥文件。
  4. 在运行 Auto Deploy 服务的系统上,运行以下命令以更新 VMware Endpoint Certificate Store (VECS) 内的 TRUSTED_ROOTS 存储,以便使用新证书。
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    /usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
  5. 创建包含 TRUSTED_ROOTS 存储内容的 castore.pem 文件,并将该文件放入 /etc/vmware-rbd/ssl/ 目录中。
    在自定义模式中,您必须维护此文件。
  6. vCenter Server 系统的 ESXi 证书模式更改为自定义
  7. 重新启动 vCenter Server 服务,然后启动 Auto Deploy 服务。

结果

下次置备设置为使用 Auto Deploy 的主机时,Auto Deploy 服务器将生成证书。Auto Deploy 服务器将使用添加到 TRUSTED_ROOTS 存储的根证书。

注: 如果证书替换后遇到自动部署问题,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/2000988