您可以使用來自企業或第三方 CA 的自訂憑證。第一步,從 CA 要求憑證並將根憑證匯入到 VECS 中。

必要條件

憑證必須符合以下需求:

  • 金鑰大小:2048 位元或以上 (PEM 編碼)
  • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
  • x509 第 3 版
  • 若為根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。
  • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
  • CRT 格式
  • 包含下列金鑰使用方法:數位簽章、金鑰編密
  • 某天的開始時間早於目前時間。
  • CN (和 SubjectAltName) 設為 ESXi 主機在 vCenter Server 詳細目錄中所擁有的主機名稱 (或 IP 位址)。

程序

  1. 將下列憑證的 CSR 傳送給您的企業或第三方憑證提供者。
    • 每台機器有一個機器 SSL 憑證。對於機器 SSL 憑證,SubjectAltName 欄位必須包含完整網域名稱 (DNS NAME=machine_FQDN)。
    • 或是,每個內嵌式系統或管理節點有四個解決方案使用者憑證。解決方案使用者憑證不應包含 IP 位址、主機名稱或電子郵件地址。每個憑證必須具有不同的憑證主體。
    • 或是,外部 Platform Services Controller 執行個體的機器解決方案使用者憑證。此憑證與 Platform Services Controller 的機器 SSL 憑證有所不同。

    一般來說,會為信任鏈結產生 PEM 檔案,並為每個 Platform Services Controller 或管理節點產生已簽署的 SSL 憑證。

  2. 列出 TRUSTED_ROOTS 和機器 SSL 存放區。
    vecs-cli store list 
    
    1. 確認目前的根憑證和所有機器 SSL 憑證都經 VMCA 簽署。
    2. 記下序號、簽發者以及主體 CN 欄位。
    3. (選擇性) 使用網頁瀏覽器開啟將進行憑證取代之節點的 HTTPS 連線,檢查憑證資訊並確認其與機器 SSL 憑證相符。
  3. 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。
    Windows 和 vCenter Server Appliance 上的服務名稱並不相同。
    備註: 如果您的環境使用外部 Platform Services Controller,則無需在 vCenter Server 節點上停止和啟動 VMware 目錄服務 (vmdird) 和 VMware Certificate Authority (vmcad)。這些服務將在 Platform Services Controller 上執行。
    Windows
    service-control --stop --all
    service-control --start VMWareAfdService
    service-control --start VMWareDirectoryService
    service-control --start VMWareCertificateService
    
    vCenter Server Appliance
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. 發佈自訂根憑證。
    dir-cli trustedcert publish --cert <my_custom_root>
    如果您未在命令列上指定使用者名稱和密碼,系統會提示您指定。
  5. 重新啟動所有服務。
    service-control --start --all
    

下一步

如果公司原則需要,您可以從憑證存放區移除原始的 VMCA 根憑證。如果您這麼做,必須重新整理 vCenter Single Sign-On 憑證。請參閱重新整理安全性 Token 服務憑證