新憑證基礎結構的影響具體取決於您環境的需求、執行全新安裝還是升級,以及考慮使用 ESXi 還是 vCenter Server

未取代 VMware 憑證的管理員

如果您身為管理員且目前並未取代 VMware 憑證,VMCA 能夠為您處理所有憑證管理事項。VMCA 使用以 VMCA 做為根憑證授權機構的憑證佈建 vCenter Server 元件和 ESXi 主機。如果您要從舊版 vSphere 升級為 vSphere 6,所有自我簽署的憑證都會取代為 VMCA 簽署的憑證。

將 VMware 憑證取代為自訂憑證的管理員

對於全新安裝,管理員可以選擇公司原則需要由第三方或企業憑證授權機構簽署的憑證,還是需要自訂憑證資訊。

  • 將 VMCA 根憑證取代為 CA 簽署憑證。在此情況下,VMCA 憑證為此第三方 CA 的中繼憑證。VMCA 使用包含完整憑證鏈結的憑證佈建 vCenter Server 元件和 ESXi 主機。

  • 如果公司原則不允許鏈結中存在中繼憑證,您必須明確取代這些憑證。您可以使用 vSphere Certificate Manager 公用程式,或使用憑證管理 CLI 執行手動憑證取代。

升級使用自訂憑證的環境時,您可以保留部分憑證。

  • ESXi 主機會在升級期間保留其自訂憑證。確定 vCenter Server 升級程序會將所有相關根憑證新增到 vCenter Server 上 VECS 中的 TRUSTED_ROOTS 存放區。

    vCenter Server 升級後,管理員可以將憑證模式設為自訂 (請參閱變更憑證模式)。如果憑證模式為 VMCA (預設值),且使用者從 vSphere Web Client 執行憑證重新整理,則 VMCA 簽署憑證會取代自訂憑證。

  • 對於 vCenter Server 元件,發生的情況取決於現有環境。

    • 如果您將簡單安裝升級為內嵌式部署,vCenter Server 自訂憑證會保留。升級後,您的環境將會如往常一般正常運作。

    • 如果您為多站台部署進行升級,該部署的 vCenter Single Sign-On 和其他 vCenter Server 元件位於不同的機器上,升級程序會建立包含一個 Platform Services Controller 節點及一或多個管理節點的多節點部署。

      在此情況下,現有的 vCenter ServervCenter Single Sign-On 憑證會保留並用做機器 SSL 憑證。VMCA 會將 VMCA 簽署憑證指派給每個解決方案使用者 (vCenter 服務集合)。解決方案使用者僅使用此憑證向 vCenter Single Sign-On 進行驗證,因此可能不需要取代解決方案使用者憑證。

    您無法繼續使用過去可用於 vSphere 5.5 安裝的 vSphere 5.5 憑證取代工具,因為新的架構導致服務散佈與放置不同。新的命令列公用程式 vSphere Certificate Manager 可供大部分憑證管理工作使用。

vCenter 憑證介面

對於 vCenter Server,您可以使用下列工具和介面檢視與取代憑證。

vSphere Certificate Manager 公用程式

從命令列執行所有一般憑證取代工作。

憑證管理 CLI

使用 dir-clicertoolvecs-cli 執行所有憑證管理工作。

vSphere Web Client 憑證管理

檢視憑證,包括到期資訊。

對於 ESXi,您可以從 vSphere Web Client 執行憑證管理。憑證會由 VMCA 佈建,並僅會本機儲存於 ESXi 主機,而不會儲存在 vmdir 或 VECS 中。請參閱 ESXi 主機的憑證管理

支援的 vCenter 憑證

對於 vCenter ServerPlatform Services Controller 以及相關的機器與服務,支援下列憑證:

  • 由 VMware 憑證授權機構 (VMCA) 產生及簽署的憑證。

  • 自訂憑證。

    • 產生自您自己的內部 PKI 的企業憑證。

    • 由外部 PKI (例如 Verisign、GoDaddy 等) 產生的第三方 CA 簽署憑證。

使用 OpenSSL 建立的自我簽署憑證,支援全部現有根 CA。