ESXi 使用安裝程序中自動產生的憑證。這些憑證是唯一的,使用這些憑證後便可以開始使用伺服器,但它們是不可驗證的,而且不是由受信任憑證授權單位 (CA) 簽署的。本主題說明了如何使用自我簽署憑證或 CA 簽署憑證取代預設憑證。

開始之前

  • 如果要使用 CA 簽署憑證,請產生憑證要求、將其傳送到憑證授權單位,並將接收的憑證儲存在主機可存取的位置。

  • 如果需要,可從 vSphere Web Client 啟用 ESXi Shell 或啟用 SSH 流量。請參閱使用 vSphere Web Client 啟用對 ESXi Shell 的存取

  • 所有的檔案傳輸和其他通訊均透過安全 HTTPS 工作階段進行。用於驗證工作階段的使用者必須在主機上擁有 Host > Config > AdvancedConfig 權限。如需有關 ESXi 權限的詳細資訊,請參閱《vSphere 單一主機管理》出版物

執行這項作業的原因和時機

使用預設憑證可能不符合您組織的安全性原則。如果需要受信任憑證授權單位簽署的憑證,則可以取代預設憑證。

備註︰

如果主機啟用了 [驗證憑證] 功能,則取代預設憑證可能會導致 vCenter Server 停止管理主機。如果 vCenter Server 無法驗證新憑證,請中斷主機連線,然後重新連線。

ESXi 僅支援使用 X.509 憑證加密工作階段資訊,該資訊在伺服器和用戶端元件之間透過 SSL 連線傳送。

程序

  1. 以具有管理員權限的使用者身分登入 ESXi Shell,可直接從 DCUI 登入,也可從 SSH 用戶端登入。
  2. 在目錄 /etc/vmware/ssl 中,使用以下命令重新命名現有憑證。

    mv rui.crt orig.rui.crt
    mv rui.key orig.rui.key

  3. 將要使用的憑證複製到 /etc/vmware/ssl
  4. 將新憑證和金鑰重新命名為 rui.crtrui.key
  5. 安裝新憑證之後重新啟動主機。

    或者,您可以將主機置於維護模式、安裝新憑證、使用 Direct Console 使用者介面 (DCUI) 重新啟動管理代理程式,然後將主機設定為結束維護模式。