默认情况下,Auto Deploy 服务器使用 VMware Certificate Authority (VMCA) 签名的证书置备每个主机。您可以将 Auto Deploy 服务器设置为使用未经 VMCA 签名的自定义证书置备所有主机。在这种情况下,Auto Deploy 服务器将成为第三方证书颁发机构 (CA) 机构的辅助证书颁发机构。
前提条件
- 向您的 CA 请求证书。证书必须满足以下要求。
- 密钥大小:2048 位(最小长度)到 8192 位(最大长度)(PEM 编码)
- PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8。
- x509 版本 3
- 对于根证书,CA 扩展必须设置为 true,并且 cert 签名必须在要求列表中。
- SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
- CRT 格式
- 包含以下密钥用法:数字签名、密钥加密
- 比当前时间早一天的开始时间。
- CN(和 SubjectAltName)设置为 vCenter Server 清单中的 ESXi 主机的主机名(或 IP 地址)。
注: vSphere 的 FIPS 证书仅验证 2048 和 3072 的 RSA 密钥大小。请参见 使用 FIPS 时的注意事项。 - 将证书和密钥文件分别命名为 rbd-ca.crt 和 rbd-ca.key。
过程
结果
下次置备设置为使用 Auto Deploy 的主机时,Auto Deploy 服务器将生成证书。Auto Deploy 服务器将使用添加到 TRUSTED_ROOTS 存储的根证书。
注: 如果证书替换后遇到自动部署问题,请参见 VMware 知识库文章,网址为
https://kb.vmware.com/s/article/2000988。