設定或更新憑證基礎結構所需的工作取決於您環境的需求、執行全新安裝還是升級,以及考慮使用 ESXi 還是 vCenter Server

未取代 VMware 憑證的管理員

VMCA 可處理所有憑證管理。VMCA 使用以 VMCA 做為根憑證授權機構的憑證佈建 vCenter Server 元件和 ESXi 主機。如果您要從舊版 vSphere 升級為 vSphere 6,所有自我簽署的憑證都會取代為 VMCA 簽署的憑證。

如果您目前沒有取代 VMware 憑證,則您的環境將開始使用 VMCA 簽署憑證而非自我簽署的憑證。

將 VMware 憑證取代為自訂憑證的管理員

如果公司原則需要由第三方或企業 CA 簽署的憑證,或需要自訂憑證資訊,則您有數個全新安裝選擇。

  • 使 VMCA 根憑證經第三方 CA 或企業 CA 簽署。將 VMCA 根憑證取代為該簽署的憑證。在此情況下,VMCA 憑證為中繼憑證。VMCA 使用包含完整憑證鏈結的憑證佈建 vCenter Server 元件和 ESXi 主機。

  • 如果公司原則不允許鏈結中存在中繼憑證,則可以明確取代這些憑證。您可以使用 Platform Services Controller Web 介面、vSphere Certificate Manager 公用程式,或使用憑證管理 CLI 執行手動憑證取代。

升級使用自訂憑證的環境時,您可以保留部分憑證。

  • ESXi 主機會在升級期間保留其自訂憑證。請確定 vCenter Server 升級程序會將所有相關根憑證新增到 vCenter Server 上 VECS 中的 TRUSTED_ROOTS 存放區。

    升級至 vSphere 6.0 或更新版本後,可以將憑證模式設定為自訂。如果憑證模式為 VMCA (預設值),且使用者從 vSphere Web Client 執行憑證重新整理,則 VMCA 簽署憑證會取代自訂憑證。

  • 對於 vCenter Server 元件,發生的情況取決於現有環境。

    • 如果您將簡單安裝升級為內嵌式部署,則 vCenter Server 會保留自訂憑證。升級後,您的環境將會如往常一般正常運作。

    • 對於多站台部署升級,vCenter Single Sign-On 可位於與其他 vCenter Server 元件不同的機器上。在此情況下,升級程序會建立包含 Platform Services Controller 節點及一或多個管理節點的多節點部署。

      此案例會保留現有 vCenter ServervCenter Single Sign-On 憑證。這些憑證將用做機器 SSL 憑證。

      此外,VMCA 會將 VMCA 簽署憑證指派給每個解決方案使用者 (vCenter 服務集合)。解決方案使用者僅使用此憑證來向 vCenter Single Sign-On 進行驗證。公司原則通常不要求取代解決方案使用者憑證。

    您無法繼續使用過去可用於 vSphere 5.5 安裝的 vSphere 5.5 憑證取代工具。新的架構將導致服務分佈與放置不同。新的命令列公用程式 vSphere Certificate Manager 可供大部分憑證管理工作使用。

vSphere 憑證介面

對於 vCenter Server,您可以使用下列工具和介面檢視與取代憑證。

表格 1. 用於管理 vCenter Server 憑證的介面

介面

使用

Platform Services Controller Web 介面

透過圖形化使用者介面執行一般憑證工作。

vSphere Certificate Manager 公用程式

vCenter Server 安裝的命令列執行一般憑證取代工作。

憑證管理 CLI

使用 dir-clicertoolvecs-cli 執行所有憑證管理工作。

vSphere Web Client

檢視憑證,包括到期資訊。

對於 ESXi,您可以從 vSphere Web Client 執行憑證管理。VMCA 會佈建憑證並將其本機儲存於 ESXi 主機。VMCA 不會在 VMDIR 或 VECS 中儲存 ESXi 主機憑證。請參閱 vSphere 安全性說明文件。

支援的 vCenter 憑證

對於 vCenter ServerPlatform Services Controller 以及相關的機器與服務,支援下列憑證:

  • 由 VMware Certificate Authority (VMCA) 產生及簽署的憑證。

  • 自訂憑證。

    • 從您自己的內部 PKI 產生的企業憑證。

    • 由外部 PKI (例如 Verisign、GoDaddy 等) 產生的第三方 CA 簽署憑證。

使用 OpenSSL 建立的自我簽署憑證,若無根 CA 存在則不支援