如果将 ESXi 主机设置为使用自定义证书,则必须在管理主机的 vCenter Server 系统上更新 TRUSTED_ROOTS 存储。
前提条件
将每台主机上的证书替换为自定义证书。
注: 如果
vCenter Server 系统所使用的自定义证书的 CA 颁发方与
ESXi 主机上安装证书的相同,则不需要此步骤。
过程
- 要使用 vSphere Client 更新 vCenter Server TRUSTED_ROOTS 存储,请参见使用 vSphere Client 向证书存储添加可信根证书。
- 要使用命令行界面更新 vCenter Server TRUSTED_ROOTS 存储,请登录到管理 ESXi 主机的 vCenter Server 系统的 vCenter Server Shell。
- 要将新证书添加到 TRUSTED_ROOTS 存储,运行 dir-cli,例如:
/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_RootCA
- 出现提示时,提供 Single Sign-On 管理员凭据。
- 如果您的自定义证书由中间 CA 颁发,您还必须将中间 CA 添加到 vCenter Server 上的 TRUSTED_ROOTS 存储,例如:
/usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert path_to_intermediateCA
下一步做什么
将证书模式设置为“自定义”。如果证书模式是默认值 VMCA,则执行证书刷新时,自定义证书将替换为 VMCA 签名的证书。请参见更改 ESXi 证书模式。