您可以使用來自企業或第三方 CA 的自訂憑證。第一步,從 CA 要求憑證並將根憑證匯入到 VECS 中。
必要條件
憑證必須符合以下需求:
- 金鑰大小:2048 位元或以上 (PEM 編碼)
- PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
- x509 第 3 版
- 若為根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。
- SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
- CRT 格式
- 包含下列金鑰使用方法:數位簽章、金鑰編密
- 某天的開始時間早於目前時間。
- CN (和 SubjectAltName) 設為 ESXi 主機在 vCenter Server 詳細目錄中所擁有的主機名稱 (或 IP 位址)。
程序
- 將下列憑證的 CSR 傳送給您的企業或第三方憑證提供者。
- 每台機器有一個機器 SSL 憑證。對於機器 SSL 憑證,SubjectAltName 欄位必須包含完整網域名稱 (DNS NAME=machine_FQDN)。
- 或是,每個內嵌式系統或管理節點有四個解決方案使用者憑證。解決方案使用者憑證不應包含 IP 位址、主機名稱或電子郵件地址。每個憑證必須具有不同的憑證主體。
- 或是,外部 Platform Services Controller 執行個體的機器解決方案使用者憑證。此憑證與 Platform Services Controller 的機器 SSL 憑證有所不同。
一般來說,會為信任鏈結產生 PEM 檔案,並為每個 Platform Services Controller 或管理節點產生已簽署的 SSL 憑證。
- 列出 TRUSTED_ROOTS 和機器 SSL 存放區。
- 確認目前的根憑證和所有機器 SSL 憑證都經 VMCA 簽署。
- 記下序號、簽發者以及主體 CN 欄位。
- (選擇性) 使用網頁瀏覽器開啟將進行憑證取代之節點的 HTTPS 連線,檢查憑證資訊並確認其與機器 SSL 憑證相符。
- 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。
Windows 和
vCenter Server Appliance 上的服務名稱並不相同。
備註: 如果您的環境使用外部
Platform Services Controller,則無需在
vCenter Server 節點上停止和啟動 VMware 目錄服務 (vmdird) 和 VMware Certificate Authority (vmcad)。這些服務將在
Platform Services Controller 上執行。
-
Windows
-
service-control --stop --all
service-control --start VMWareAfdService
service-control --start VMWareDirectoryService
service-control --start VMWareCertificateService
-
vCenter Server Appliance
-
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- 發佈自訂根憑證。
dir-cli trustedcert publish --cert <my_custom_root>
如果您未在命令列上指定使用者名稱和密碼,系統會提示您指定。
- 重新啟動所有服務。
service-control --start --all
下一步
如果公司原則需要,您可以從憑證存放區移除原始的 VMCA 根憑證。如果您這麼做,必須重新整理 vCenter Single Sign-On 憑證。請參閱重新整理安全性 Token 服務憑證。