Wenn Sie ein Upgrade eines ESXi-Hosts auf ESXi 6.5 oder höher durchführen, werden beim Upgrade-Prozess die selbstsignierten (Fingerabdruck) Zertifikate durch VMCA-signierte Zertifikate ersetzt. Wenn der ESXi-Host benutzerdefinierte Zertifikate verwendet, werden diese Zertifikate beim Upgrade-Prozess beibehalten, selbst wenn diese Zertifikate abgelaufen oder ungültig sind.
Der empfohlene Upgrade-Workflow hängt von den aktuellen Zertifikaten ab.
- Host mit bereitgestellten Fingerabdruckzertifikaten
-
Wenn der Host derzeit Fingerabdruckzertifikate verwendet, werden ihm im Rahmen des Upgrade-Prozesses automatisch VMCA-Zertifikate zugewiesen.
Hinweis: Sie können keine VMCA-Zertifikate auf Legacy-Hosts bereitstellen. Sie müssen für diese Hosts ein Upgrade auf ESXi 6.5 oder höher durchführen.
- Host mit bereitgestellten benutzerdefinierten Zertifikaten
-
Wenn Ihr Host mit benutzerdefinierten Zertifikaten bereitgestellt wird, in der Regel von einer Zertifizierungsstelle signierte Zertifikate eines Drittanbieters, dann werden diese Zertifikate während des Upgrades beibehalten. Ändern Sie den Zertifikatmodus in
Benutzerdefiniert, um sicherzustellen, dass die Zertifikate später während einer Zertifikataktualisierung nicht versehentlich ersetzt werden.
Hinweis: Wenn sich Ihre Umgebung im VMCA-Modus befindet und Sie die Zertifikate über den vSphere Client aktualisieren, werden alle vorhandenen Zertifikate durch von VMCA signierte Zertifikate ersetzt.
Von diesem Zeitpunkt an überwacht vCenter Server die Zertifikate und zeigt Informationen, z. B. über ablaufende Zertifikate, im vSphere Client an.
- Hosts, die mit Auto Deploy bereitgestellt werden
- Hosts, die mit Auto Deploy bereitgestellt werden, werden immer neue Zertifikate zugewiesen, wenn sie zum ersten Mal mit ESXi 6.5 oder höher gestartet werden. Wenn Sie ein Upgrade für einen Host mit Bereitstellung durch Auto Deploy durchführen, generiert der Auto Deploy-Server eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) für den Host und sendet diese an VMCA. VMCA speichert das signierte Zertifikat für den Host. Wenn der Auto Deploy-Server Bereitstellungen für den Host durchführt, ruft er das Zertifikat von VMCA ab und schließt es als Bestandteil des Bereitstellungsprozesses ein.