機器 SSL 憑證是由每個管理節點、Platform Services Controller 以及內嵌式部署上的反向 Proxy 服務所使用。每台機器必須具有機器 SSL 憑證,以便與其他服務進行安全通訊。您可以將每個節點上的憑證取代為自訂憑證。

必要條件

開始前,您需要環境中每台機器的 CSR。您可以使用 vSphere Certificate Manager 或明確地產生 CSR。
  1. 若要使用 vSphere Certificate Manager 產生 CSR,請參閱使用 vSphere Certificate Manager 產生憑證簽署要求 (自訂憑證)
  2. 若要明確產生 CSR,請向第三方或企業 CA 要求每台機器的憑證。憑證必須符合以下需求:
    • 金鑰大小:2048 位元或以上 (PEM 編碼)
    • CRT 格式
    • x509 第 3 版
    • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
    • 包含下列金鑰使用方法:數位簽章、金鑰編密
    備註: 請勿在任何自訂憑證中使用 CRL 發佈點、授權資訊存取或憑證範本資訊。

另請參閱 VMware 知識庫文章 2112014,從 Microsoft 憑證授權機構取得 vSphere 憑證

程序

  1. 啟動 vSphere Certificate Manager 並選取選項 1。
  2. 選取選項 2 以啟動憑證取代並回應提示。
    vSphere Certificate Manager 會提示您輸入下列資訊:
    • [email protected] 的密碼。
    • 有效的機器 SSL 自訂憑證 (.crt 檔案)。
    • 有效的機器 SSL 自訂金鑰 (.key 檔案)。
    • 用於自訂機器 SSL 憑證 (.crt 檔案) 的有效簽署憑證。
    • 如果您在多節點部署中的管理節點上執行命令,需要 Platform Services Controller 的 IP 位址。

下一步

如果要從 vSphere 5.x 環境升級,您可能必須取代 vmdir 內的 vCenter Single Sign-On 憑證。請參閱在混合模式環境中取代 VMware Directory Service 憑證