如果使用 VMware Certificate Authority (VMCA) 为主机分配证书,您可以从 vSphere Client 中续订这些证书。如果使用 VMCA 证书或自定义证书,则可以刷新与 vCenter Server 关联的 TRUSTED_ROOTS 存储中的所有证书。

如果您的 VMCA 证书即将过期,或者由于其他原因要使用新证书置备主机,可以使用 vSphere Client 续订证书。如果在过期之前未续订 VMCA 证书,则断开主机连接后又将其重新连接时,会使 vCenter Server 续订证书。将主机重新添加到 vCenter Server 的行为将重新建立信任,并使 vCenter Server 无条件地颁发续订的证书。

默认情况下,每次将主机添加到清单或重新连接主机时,vCenter Server 都会续订状态为“已过期”、“即将过期”或“不久即将过期”的主机 VMCA 证书。

ESXi 证书续订的过期日期不能晚于可信根证书的过期日期。例如,即使 ESXi vpxd.certmgmt.certs.daysValid 高级选项设置为五年,并且可信根证书设置为在两年后过期,ESXi 证书的过期日期也限制为两年。

您可以使用 vSphere Client 将当前位于 vCenter Server VECS 存储中的 TRUSTED_ROOTS 存储中的所有证书推送到 ESXi 主机。如果需要刷新 ESXi 主机上的可信根证书,请使用此功能。此功能同时适用于 VMCA 证书和自定义证书。

前提条件

确认以下情况:
  • 如果使用 VMCA 证书,证书模式将设置为 vmca
  • 如果使用自定义证书,证书模式将设置为自定义
  • ESXi 主机已连接到 vCenter Server 系统。
  • vCenter Server 系统与 ESXi 主机之间已正确同步时间。
  • 可在 vCenter Server 系统和 ESXi 主机之间进行 DNS 解析。
  • vCenter Server 系统的 MACHINE_SSL_CERT 和 Trusted_Root 证书有效且未过期。请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/2111411
  • ESXi 主机不处于维护模式。
注: 如果您使用自定义证书,并且需要续订这些证书,请重新导入证书。

过程

  1. vSphere Client 清单中,浏览到主机。
  2. 单击配置
  3. 系统下,单击证书
    您可以查看有关所选主机的证书的详细信息。
  4. 根据所使用的证书类型选择相应的选项。
    选项 描述
    使用 VMCA 进行管理 > 续订 从 VMCA 检索主机的全新签名证书。
    使用 VMCA 进行管理 > 刷新 CA 证书

    使用外部 CA 进行管理 > 刷新 CA 证书

    		 vCenter Server VECS 存储的 TRUSTED_ROOTS 存储中的所有证书推送到主机。