根據公司原則以及要設定之系統的需求,您可以執行不同類型的憑證取代。可以透過 vSphere 憑證管理員公用程式或使用安裝隨附的 CLI 手動執行每個取代。

VMCA 包含在每個 Platform Services Controller 以及每個內嵌式部署中。VMCA 會使用由 VMCA 做為憑證授權機構進行簽署的憑證來佈建每個節點、每個 vCenter Server 解決方案使用者,以及每台 ESXi 主機。vCenter Server 解決方案使用者屬於 vCenter Server 服務群組。如需解決方案使用者清單,請參閱 《vSphere 安全性》

可以取代預設憑證。對於 vCenter Server 元件,您可以使用包含在安裝中的一組命令列工具。您可以有多個選項。

如需取代工作流程和 vSphere 憑證管理員公用程式的詳細資料,請參閱 《vSphere 安全性》文件。

用 VMCA 簽署的憑證取代

如果您的 VMCA 憑證到期或出於其他原因想將其取代,則可使用憑證管理 CLI 執行該程序。依預設,VMCA 根憑證會在十年後到期,而 VMCA 簽署的所有憑證都會在根憑證到期時到期 (即最多十年期限)。

圖表 1. VMCA 簽署的憑證儲存在 VECS 中
在預設模式下,VMCA 會使用 VMCA 簽署的憑證進行佈建

使 VMCA 成為中繼 CA

可以將 VMCA 根憑證取代為企業 CA 或第三方 CA 簽署的憑證。VMCA 每次佈建憑證時都可以簽署自訂根憑證,使 VMCA 成為中繼 CA。

備註︰

如果執行的全新安裝中包含外部 Platform Services Controller,請先安裝 Platform Services Controller 並取代 VMCA 根憑證。接著,安裝其他服務或將 ESXi 主機新增至您的環境。如果執行的全新安裝中包含內嵌式 Platform Services Controller,則在新增 ESXi 主機之前取代 VMCA 根憑證。這樣一來,所有憑證將由整個鏈結簽署,且不需要產生新憑證。

圖表 2. 第三方或企業 CA 簽署的憑證使用 VMCA 做為中繼 CA
VMCA 憑證做為中繼憑證納入。根憑證由第三方 CA 簽署。

用自訂憑證而非 VMCA 進行佈建

可以使用自訂憑證取代現有的 VMCA 簽署的憑證。如果使用該方法,您將負責佈建和監控所有憑證。

圖表 3. 外部憑證直接儲存在 VECS 中
外部憑證直接儲存在 VECS 中。未使用 VMCA。

混合部署

可以讓 VMCA 提供一些憑證,並針對基礎結構的其他部分使用自訂憑證。例如,由於解決方案使用者憑證僅用於向 vCenter Single Sign-On 進行驗證,因此,請考慮讓 VMCA 佈建這些憑證。將機器 SSL 憑證取代為自訂憑證以確保所有 SSL 流量安全。

ESXi 憑證取代

對於 ESXi 主機,您可以透過 vSphere Web Client 變更憑證佈建行為。

VMware 憑證授權機構模式 (預設)

vSphere Web Client 更新憑證時,VMCA 會核發用於主機的憑證。如果您將 VMCA 根憑證變更為包含憑證鏈結,則主機憑證會包含完整鏈結。

自訂憑證授權機構模式

允許您手動更新和使用並非由 VMCA 簽署或核發的憑證。

指紋模式

可用於在重新整理期間保留 5.5 憑證。將此模式僅暫時用於偵錯情況。