作为 vSphere 管理员,可以替换虚拟 IP 地址 (VIP) 的证书,以便使用主机信任的 CA 签名的证书安全地连接到 主管 API 端点。该证书将在登录期间以及与 主管 进行后续交互期间为 DevOps 工程师进行 Kubernetes 控制平面身份验证。

前提条件

验证您是否有权访问可对 CSR 进行签名的 CA。对于 DevOps 工程师,必须将此 CA 作为可信 root 安装到其系统中。

有关 主管 证书的详细信息,请参见主管 CA 证书

过程

  1. vSphere Client 中,导航到工作负载管理
  2. 选择主管,然后从列表中选择 主管
  3. 单击配置,然后选择证书
  4. 工作负载管理平台窗格中,选择操作 > 生成 CSR
    图 1. 替换主管默认证书

    “配置证书”选项卡将显示默认证书。
  5. 提供证书的详细信息。
    注: 如果使用身份提供程序服务,还必须包括整个证书链。但是,标准 HTTPS 流量不需要该链。
  6. 生成 CSR 后,单击复制
  7. 使用 CA 对证书进行签名。
  8. 工作负载平台管理窗格中选择操作 > 替换证书
  9. 上载签名证书文件,然后单击替换证书
  10. 验证此证书以确认 Kubernetes 控制平面的 IP 地址。
    例如,可以使用浏览器打开 适用于 vSphere 的 Kubernetes CLI 工具 下载页面并确认已成功替换此证书。在 Linux 或 Unix 系统上,也可以使用 echo | openssl s_client -connect https://ip:6443