可以从 ESXi Shell 替换默认的 VMCA 签名的 ESXi 证书。

前提条件

  • 如果要使用第三方 CA 签名证书,请生成证书请求、将其发送至证书颁发机构,并将证书存储在每个 ESXi 主机上。
  • 如果需要,从 vSphere Client 启用 ESXi Shell 或启用 SSH 流量。
  • 所有的文件传输和其他通信均通过安全 HTTPS 会话进行。用于验证会话的用户必须在主机上拥有主机.配置.高级配置特权。
注: 在替换证书之前,请更新 vCenter Server TRUSTED_ROOTS 存储。请参见 更新 vCenter Server TRUSTED_ROOTS 存储(自定义证书)

过程

  1. 以管理员权限用户的身份登录 ESXi Shell,可直接从 DCUI 登录,也可从 SSH 客户端登录。
  2. /etc/vmware/ssl 目录中,使用以下命令重命名现有证书。 
    mv rui.crt orig.rui.crt
mv rui.key orig.rui.key
  3. 将要使用的证书复制到 /etc/vmware/ssl
  4. 将新证书和密钥重命名为 rui.crtrui.key
  5. 安装新证书之后重新启动主机。
    或者也可以将主机置于维护模式,安装新证书,使用直接控制台用户界面 (DCUI) 重新启动管理代理,并将主机设置为退出维护模式。