当主机添加到 vCenter Server 系统时,vCenter Server 将向 VMCA 发送主机的证书签名请求 (CSR)。在许多情形下,大多数默认值都适用,但可以更改公司特定的信息。

可以使用 vSphere Client 更改许多默认设置。考虑更改组织和位置信息。请参见更改 ESXi 证书默认设置

表 1. ESXi CSR 设置
参数 默认值 高级选项
密钥大小 2048 不适用
密钥算法 RSA 不适用
证书签名算法 sha256WithRSAEncryption 不适用
公用名称 如果按主机名称将主机添加到 vCenter Server,则为主机的名称。

如果按 IP 地址将主机添加到 vCenter Server,则为主机的 IP 地址。

不适用
国家/地区 美国 vpxd.certmgmt.certs.cn.country
电子邮件地址 [email protected] vpxd.certmgmt.certs.cn.email
地点(市/县) Palo Alto vpxd.certmgmt.certs.cn.localityName
组织单位名称 VMware Engineering vpxd.certmgmt.certs.cn.organizationalUnitName
组织名称 VMware vpxd.certmgmt.certs.cn.organizationName
省/自治区/直辖市 加利福尼亚州 vpxd.certmgmt.certs.cn.state
证书的有效天数。 1825 vpxd.certmgmt.certs.daysValid
证书过期的硬阈值。达到此阈值时,vCenter Server 将发出红色警报。 30 天 vpxd.certmgmt.certs.hardThreshold
vCenter Server 证书有效性检查的轮询间隔。 5 天 vpxd.certmgmt.certs.pollIntervalDays
证书过期的软阈值。达到此阈值时,vCenter Server 将引发事件。 240 天 vpxd.certmgmt.certs.softThreshold
vCenter Server 用户确定是否替换现有证书的模式。更改此模式以在升级过程中保留自定义证书。请参见ESXi 主机升级和证书 vmca

您还可以指定指纹或自定义。请参见更改 ESXi 证书模式

vpxd.certmgmt.mode

更改 ESXi 证书默认设置

ESXi 主机添加到 vCenter Server 系统时,vCenter Server 将向 VMCA 发送主机的证书签名请求 (CSR)。您可以使用 vSphere Client 中的 vCenter Server“高级设置”更改 CSR 中的某些默认设置。

请参见上一个表中的默认设置列表。某些默认设置不能更改。

过程

  1. vSphere Client 中,选择管理主机的 vCenter Server 系统。
  2. 单击配置,然后单击高级配置
  3. 单击编辑设置
  4. 单击“名称”列中的筛选器图标,然后在“筛选器”框中输入 vpxd.certmgmt 以仅显示证书管理参数。
  5. 根据公司策略更改现有参数的值,然后单击保存
    下次将主机添加到 vCenter Server 时,新的设置将用于 vCenter Server 发送到 VMCA 的 CSR 以及分配给主机的证书。

下一步做什么

对证书元数据所做的更改只会影响新证书。如果要更改已由 vCenter Server 系统管理的主机的证书,可以断开并重新连接该主机或续订证书。