您公司的安全策略可能要求在所有主机上将默认的 ESXi SSL 证书替换为第三方证书颁发机构 (CA) 签名的证书。

默认情况下,vSphere 组件使用在安装过程中创建的 VMCA 签名证书和密钥。如果意外删除 VMCA 签名证书,请从其 vCenter Server 系统中移除该主机,然后再重新添加该主机。在添加主机时,vCenter Server 会请求由 VMCA 颁发的新证书,并使用该证书置备主机。

如果公司策略有相关要求,则可以将 VMCA 签名证书替换为由受信任证书颁发机构(商业 CA 或组织 CA)颁发的证书。

可以使用 vSphere Client 或 CLI 将默认证书替换为自定义证书。

注: 您也可以使用 vSphere Web Services SDK 中的 vim.CertificateManagervim.host.CertificateManager 受管对象。请参见 vSphere Web Services SDK 文档。

替换证书之前,您必须在管理主机的 vCenter Server 系统上更新 VECS 中的 TRUSTED_ROOTS 存储,以确保 vCenter ServerESXi 主机建立信任关系。

注: 如果要替换属于 vSAN 集群的 ESXi 主机上的 SSL 证书,请按照 VMware 知识库文章 ( https://kb.vmware.com/s/article/56441) 中的步骤进行操作。

自定义证书 ESXi 证书签名请求要求

使用具有以下特性的 CSR:

  • 密钥大小:2048 位(最小长度)到 8192 位(最大长度)(PEM 编码)
  • PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8。
  • x509 版本 3
  • 对于根证书,CA 扩展必须设置为 true,并且 cert 签名必须在要求列表中。
  • SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
  • CRT 格式
  • 包含以下密钥用法:数字签名、密钥加密
  • 比当前时间早一天的开始时间。
  • CN(和 SubjectAltName)设置为 vCenter Server 清单中的 ESXi 主机的主机名(或 IP 地址)。
注: vSphere 的 FIPS 证书仅验证 2048 和 3072 的 RSA 密钥大小。请参见 使用 FIPS 时的注意事项
vSphere 不支持以下证书。
  • 使用通配符的证书。
  • 不支持算法 md2WithRSAEncryption、md5WithRSAEncryption、RSASSA-PSS、dsaWithSHA1、ecdsa_with_SHA1 和 sha1WithRSAEncryption。

要使用 vSphere Client 生成 CSR,请参见使用 vSphere Client 为自定义证书生成证书签名请求

有关使用 CLI 生成 CSR 的信息,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/2113926