如果将 ESXi 主机设置为使用自定义证书,则必须在管理主机的 vCenter Server 系统上更新 TRUSTED_ROOTS 存储。

前提条件

将每台主机上的证书替换为自定义证书。

注: 如果 vCenter Server 系统所使用的自定义证书的 CA 颁发方与 ESXi 主机上安装证书的相同,则不需要此步骤。

过程

  1. 要使用 vSphere Client 更新 vCenter Server TRUSTED_ROOTS 存储,请参见使用 vSphere Client 向证书存储添加可信根证书。
  2. 要使用命令行界面更新 vCenter Server TRUSTED_ROOTS 存储,请登录到管理 ESXi 主机的 vCenter Server 系统的 vCenter Server Shell。
  3. 要将新证书添加到 TRUSTED_ROOTS 存储,运行 dir-cli,例如:
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_RootCA
  4. 出现提示时,提供 Single Sign-On 管理员凭据。
  5. 如果您的自定义证书由中间 CA 颁发,您还必须将中间 CA 添加到 vCenter Server 上的 TRUSTED_ROOTS 存储,例如:
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_intermediateCA

下一步做什么

将证书模式设置为“自定义”。如果证书模式是默认值 VMCA,则执行证书刷新时,自定义证书将替换为 VMCA 签名的证书。请参见更改 ESXi 证书模式