可以从 vSphere Client 中将默认的 VMCA 签名的 ESXi 证书替换为自定义证书。
导入自定义证书时,请确保:
- 添加整个 CA 证书链,然后再继续替换。
- 确保为环境提供正确的 CA 证书。导入和替换过程不会对所使用的证书执行检查。
- 确保证书链中没有 SHA1 哈希。SHA1 不受支持。
- 将根 CA 添加到 VECS,然后再继续。否则,主机在替换证书后会立即断开连接。
前提条件
- 生成证书签名请求,并将其发送到证书颁发机构。请参见使用 vSphere Client 为自定义证书生成证书签名请求。
- 当证书颁发机构返回证书时,将其存储在 ESXi 主机上。
- 确保 ESXi 证书模式设置为自定义。请参见更改 ESXi 证书模式。
- 更新可信根存储。请参见更新 vCenter Server TRUSTED_ROOTS 存储(自定义证书)。
过程
- 在 vSphere Client 清单中,浏览到主机。
- 单击配置。
- 在系统下,单击证书。
- 从使用外部 CA 进行管理下拉列表中,选择导入并替换。
- 选择替换选项。
选项 描述 替换为 ESXi 生成 CSR 的外部 CA 证书(嵌入私钥) 如果在 ESXi 上生成 CSR,请使用此选项,在这种情况下,私钥存储在 ESXi 上。 替换为从证书颁发机构生成 CSR 的外部 CA 证书(需要私钥) 如果已将 CSR 发送到第三方证书颁发机构并收到了证书和私钥,请使用此选项。 - 单击下一步。
- 浏览证书或证书和私钥。
- 查看信息,然后单击导入并替换。
结果
自定义证书将替换现有证书。
