如果将 ESXi 主机升级到 ESXi 6.7 或更高版本,升级过程会将自签名(指纹)证书替换为 VMCA 签名证书。如果 ESXi 主机使用自定义证书,升级过程会保留这些证书,即使这些证书已过期或无效亦如此。

建议的升级工作流取决于当前证书。

使用指纹证书置备的主机

如果主机当前使用指纹证书,则在升级过程中会自动为其分配 VMCA 证书。

注: 无法使用 VMCA 证书置备旧版主机。必须将这些主机升级到 ESXi 6.7 或更高版本。

使用自定义证书置备的主机

如果主机使用自定义证书(通常是第三方 CA 签名的证书)置备,则这些证书在升级过程中将保留在原位。将证书模式更改为自定义,以确保稍后在证书刷新过程中不会意外替换证书。

注: 如果环境处于 VMCA 模式下,且您在 vSphere Client 中刷新证书,则任何现有证书将替换为 VMCA 签名的证书。

从今往后,vCenter Server 将在 vSphere Client 中监控证书并显示有关证书到期等的信息。

使用 Auto Deploy 置备的主机

对于使用 Auto Deploy 置备的主机,在其首次使用 ESXi 6.7 或更高版本软件引导时,将始终为其分配新证书。当升级使用 Auto Deploy 置备的主机时,Auto Deploy 服务器将为主机生成证书签名请求 (CSR) 并将其提交至 VMCA。VMCA 将存储主机的签名证书。Auto Deploy 服务器置备主机时,将从 VMCA 中检索证书并将其作为置备过程的一部分。

您可以将 Auto Deploy 与自定义证书配合使用。

请参见将 Auto Deploy 设为辅助证书颁发机构在 Auto Deploy 中使用自定义证书