默认情况下,VMware Certificate Authority (VMCA) 使用证书置备 ESXi。将 VMCA 证书替换为自定义证书时,请使用自定义模式。使用旧版指纹模式进行调试。如果需要进行模式切换,请在开始之前检查潜在的影响。

有关证书模式的说明,请参见证书和证书模式

使用自定义 ESXi 证书

注: 如果从使用 VMCA 证书切换到自定义证书,请确保在生成证书时留出时间完成组织审批和实现流程。此外,请进行相应的规划,以便当前证书在切换期间不会过期。

如果公司策略要求使用 VMCA 以外的根 CA,则可以在仔细规划后在您的环境中切换证书模式。工作流如下。

  1. 切换到自定义模式。请参见更改 ESXi 证书模式

    切换模式后,vSphere Client 可以激活使用外部 CA 进行管理下拉列表,从而使您能够生成证书签名请求。

  2. 将自定义 CA 的根证书添加到 VMware Endpoint Certificate Store (VECS)。
  3. 生成证书签名请求,并获取要使用的证书。

    您可能需要等待一段时间让系统返回 CSR。

  4. 将自定义 CA 证书导入到 vCenter Server 主机。

    请留出一些时间让 vCenter Server 将自定义 CA 证书分发给 ESXi 主机。

从自定义 CA 模式切换到 VMCA 模式

如果要使用自定义 CA 模式,且确定在您的环境中使用 VMCA 后会具有更优的性能,则可以在仔细规划后执行模式切换。工作流如下。

  1. 移除 vCenter Server 系统中的所有主机。
  2. vCenter Server 系统上,从 VECS 中移除第三方 CA 的根证书。
  3. 切换到 vmca 模式。请参见更改 ESXi 证书模式
  4. 将主机添加到 vCenter Server 系统。
注: 此模式切换的任何其他工作流可能导致不可预知的行为。

在升级过程中保留指纹模式证书

如果使用 VMCA 证书时遇到问题,则可能需要从 VMCA 模式切换为指纹模式。在指纹模式中,vCenter Server 系统仅检查证书是否存在和是否正确格式化,而不会检查证书是否有效。有关说明,请参见更改 ESXi 证书模式

从指纹模式切换到 VMCA 模式

如果使用指纹模式且要开始使用 VMCA 签名证书,则切换需要进行一些规划。工作流如下。

  1. 移除 vCenter Server 系统中的所有 ESXi 主机。
  2. 切换到 vmca 模式。请参见更改 ESXi 证书模式
  3. ESXi 主机添加到 vCenter Server 系统。
注: 此模式切换的任何其他工作流可能导致不可预知的行为。

从自定义 CA 模式切换到指纹模式

如果在使用自定义 CA 时遇到问题,请考虑暂时切换到指纹模式。要实现顺利切换,请按照更改 ESXi 证书模式中的说明进行操作。模式切换之后,vCenter Server 系统将只检查证书的格式,不再检查证书本身是否有效。

从指纹模式切换到自定义 CA 模式

如果在故障排除期间将环境设置为指纹模式,且希望开始使用自定义 CA 模式,则必须首先生成所需的证书。工作流如下。

  1. 移除 vCenter Server 系统中的所有 ESXi 主机。
  2. 将自定义 CA 根证书添加到 vCenter Server 系统上 VECS 中的 TRUSTED_ROOTS 存储区。请参见更新 vCenter Server TRUSTED_ROOTS 存储(自定义证书)
  3. 对于每个 ESXi 主机:
    1. 部署自定义 CA 证书和密钥。
    2. 在主机上重新启动服务。
  4. 切换到自定义模式。请参见更改 ESXi 证书模式
  5. ESXi 主机添加到 vCenter Server 系统。