默认情况下,VMware Certificate Authority (VMCA) 使用以 VMCA 作为根证书颁发机构的签名证书置备新 ESXi 主机。在主机明确或作为安装或升级 ESXi 的一部分添加到 vCenter Server 时,便会进行置备。
您可以通过 vSphere Client 以及通过在 vSphere Web Services SDK 中使用 vim.CertificateManager API 来查看和管理 ESXi 证书。无法使用可用于管理 vCenter Server 证书的证书管理 CLI 查看或管理 ESXi 证书。
从 vSphere 8.0 Update 3 开始,无需将主机置于维护模式,也无需重新启动主机或各个服务,便可替换 ESXi 证书。
证书和证书模式
在 ESXi 与 vCenter Server 进行通信时,二者将使用 TLS 处理几乎所有管理流量。
vCenter Server 支持对 ESXi 主机使用以下证书和证书模式。
| 证书模式 | 描述 |
|---|---|
| VMware Certificate Authority(默认值) | 默认情况下,VMware Certificate Authority (VMCA) 被用作 ESXi 主机证书的证书颁发机构 (CA) 。默认情况下,VMCA 为根 CA,但可将其设置为其他 CA 的中间 CA。在 vmca 模式下,您可以从 vSphere Client 中续订和刷新证书。如果 VMCA 是辅助证书,也将使用 VMCA。 |
| 自定义证书颁发机构 | 如果希望仅使用第三方或企业 CA 签名的自定义证书,则使用此模式。在自定义模式下,您必须管理证书。从 vSphere 8.0 Update 3 开始,您可以从 vSphere Client 中管理自定义证书。
注: 除非将证书模式更改为“自定义证书颁发机构”(
自定义),否则在
vSphere Client 中选择
续订等情况下,VMCA 可能会替换自定义证书。
|
| 指纹模式 | vSphere 5.5 使用指纹模式,且此模式在 vSphere 6.x 中仍可用作后备选项。在此模式下,vCenter Server 会检查证书格式是否正确,但不会检查证书是否有效。甚至会接受已过期的证书。 除非使用其他两种模式之一时遇到无法解决的问题,否则不要使用此模式。某些 vCenter Server 6.x 及更高版本服务在指纹模式下可能无法正常运行。 |
要更改证书模式以使用其他类型的证书,请参见ESXi 证书模式切换工作流和更改 ESXi 证书模式。
ESXi 证书过期
可以在 vSphere Client 中查看有关由 VMCA 或第三方 CA 签名的证书的证书过期信息。您可以查看由 vCenter Server 管理的所有主机或单个主机的信息。如果证书处于不久即将过期状态(少于八个月),则将发出黄色警报。如果证书处于即将过期状态(少于两个月),则将发出红色警报。
ESXi 置备和证书
从安装介质引导 ESXi 主机时,主机最初使用自动生成的证书。当主机添加到 vCenter Server 系统时,vCenter Server 将使用 VMCA 作为根 CA 签名的证书置备主机。
您还可以将第三方或企业证书颁发机构签名的自定义证书用于 ESXi 主机。
Auto Deploy 中的 ESXi 置备和证书
该过程与使用 Auto Deploy 置备主机类似。但是,这些主机不会存储任何状态,因此签名证书将由 Auto Deploy 服务器存储在其本地证书存储中。在 ESXi 主机后续引导期间,将重新使用该证书。Auto Deploy 服务器是任何嵌入式部署或 vCenter Server 系统的一部分。
如果 Auto Deploy 主机首次引导时 VMCA 不可用,则主机将先尝试连接。如果主机无法连接,则它会在关闭和重新引导之间循环,直到 VMCA 可用且可以使用签名证书置备主机。
您可以将 Auto Deploy 设为第三方证书颁发机构的辅助证书颁发机构。在这种情况下,生成的证书使用 Auto Deploy SSL 密钥进行签名。请参见将 Auto Deploy 设为辅助证书颁发机构。
在 ESXi 8.0 及更高版本中,您可以将自定义证书(证书颁发机构签名的证书)与 Auto Deploy 结合使用。主机启动时,Auto Deploy 会将自定义证书与 ESXi 主机的 MAC 地址或 BIOS UUID 相关联。请参见在 Auto Deploy 中使用自定义证书。
ESXi 证书管理所需的特权
用户需要拥有 特权才能管理 ESXi 主机证书。
ESXi 主机名称和 IP 地址更改
ESXi 主机名称或 IP 地址更改可能会影响 vCenter Server 是否将主机的证书视为有效。将 ESXi 主机添加到 vCenter Server 的方式将影响是否需要人工干预。人工干预是指重新连接主机或从 vCenter Server 中移除主机,然后再重新添加该主机。
| 将 ESXi 主机添加到 vCenter Server 所使用的方式... | ESXi 主机名称更改 | ESXi IP 地址更改 |
|---|---|---|
| 主机名称 | vCenter Server 连接问题。需要人工干预。 | 无需干预。 |
| IP 地址 | 无需干预。 | vCenter Server 连接问题。需要人工干预。 |
