如果公司原則不允許使用中繼 CA,則 VMCA 無法為您產生憑證。您可以使用來自企業或第三方 CA 的自訂憑證。

開始之前

憑證必須符合以下需求:

  • 金鑰大小:2048 位元或以上 (PEM 編碼)

  • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8

  • x509 第 3 版

  • 若為根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。

  • SubjectAltName 必須包含 DNS Name=<machine_FQDN>

  • CRT 格式

  • 包含下列金鑰使用方法:數位簽章、不可否認性、金鑰編密

  • 某天的開始時間早於目前時間

  • CN (和 SubjectAltName) 設為 ESXi主機在vCenter Server 詳細目錄中所擁有的主機名稱 (或 IP 位址)。

程序

  1. 將下列憑證的 CSR 傳送給您的企業或第三方憑證提供者。
    • 每台機器有一個機器 SSL 憑證。對於機器 SSL 憑證,SubjectAltName 欄位必須包含完整網域名稱 (DNS NAME=machine_FQDN)。

    • 或是,每個內嵌式系統或管理節點有四個解決方案使用者憑證。解決方案使用者憑證不應包含 IP 位址、主機名稱或電子郵件地址。每個憑證必須具有不同的憑證主體。

    一般來說,會為信任鏈結產生 PEM 檔案,並為每個 Platform Services Controller 或管理節點產生已簽署的 SSL 憑證。

  2. 列出 TRUSTED_ROOTS 和機器 SSL 存放區。
    vecs-cli store list 
    
    1. 確認目前的根憑證和所有機器 SSL 憑證都經 VMCA 簽署。
    2. 記下序號、簽發者以及主體 CN 欄位。
    3. (選擇性) ︰ 使用網頁瀏覽器開啟將進行憑證取代之節點的 HTTPS 連線,檢查憑證資訊並確認其與機器 SSL 憑證相符。
  3. 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。

    Windows 和 vCenter Server Appliance上的服務名稱並不相同。

    Windows

    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    

    vCenter Server Appliance

    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. 發佈自訂根憑證 (來自第三方 CA 的簽署憑證)。
    dir-cli trustedcert publish --cert <my_custom_root>

    如果您未在命令列上指定使用者名稱和密碼,系統會提示您指定。

  5. 重新啟動所有服務。
    service-control --start --all
    

下一步

如果公司原則需要,您可以從憑證存放區移除原始的 VMCA 根憑證。如果進行移除,您必須重新整理這些內部憑證: