您公司的安全策略可能要求在所有主机上将默认的 ESXi SSL 证书替换为第三方证书颁发机构 (CA) 签名的证书。
默认情况下,vSphere 组件使用在安装过程中创建的 VMCA 签名证书和密钥。如果意外删除 VMCA 签名证书,请从其 vCenter Server 系统中移除该主机,然后再重新添加该主机。在添加主机时,vCenter Server 会请求由 VMCA 颁发的新证书,并使用该证书置备主机。
如果公司策略有相关要求,则可以将 VMCA 签名证书替换为由受信任证书颁发机构(商业 CA 或组织 CA)颁发的证书。
可以使用 vSphere Client 或 CLI 将默认证书替换为自定义证书。
注: 您也可以使用 vSphere Web Services SDK 中的
vim.CertificateManager 和
vim.host.CertificateManager 受管对象。请参见 vSphere Web Services SDK 文档。
替换证书之前,您必须在管理主机的 vCenter Server 系统上更新 VECS 中的 TRUSTED_ROOTS 存储,以确保 vCenter Server 和 ESXi 主机建立信任关系。
注: 如果要替换属于 vSAN 集群的
ESXi 主机上的 SSL 证书,请按照 VMware 知识库文章 (
https://kb.vmware.com/s/article/56441) 中的步骤进行操作。
自定义证书 ESXi 证书签名请求要求
使用具有以下特性的 CSR:
- 密钥大小:2048 位(最小长度)到 8192 位(最大长度)(PEM 编码)
- PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8。
- x509 版本 3
- 对于根证书,CA 扩展必须设置为 true,并且 cert 签名必须在要求列表中。
- SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
- CRT 格式
- 包含以下密钥用法:数字签名、密钥加密
- 比当前时间早一天的开始时间。
- CN(和 SubjectAltName)设置为 vCenter Server 清单中的 ESXi 主机的主机名(或 IP 地址)。
注: vSphere 的 FIPS 证书仅验证 2048 和 3072 的 RSA 密钥大小。请参见
使用 FIPS 时的注意事项。
vSphere 不支持以下证书。
- 使用通配符的证书。
- 不支持算法 md2WithRSAEncryption、md5WithRSAEncryption、RSASSA-PSS、dsaWithSHA1、ecdsa_with_SHA1 和 sha1WithRSAEncryption。
要使用 vSphere Client 生成 CSR,请参见使用 vSphere Client 为自定义证书生成证书签名请求。
有关使用 CLI 生成 CSR 的信息,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/2113926。
