依預設,Auto Deploy 伺服器會使用由 VMCA 簽署的憑證佈建每台主機。可以將 Auto Deploy 伺服器設定為使用不是 VMCA 簽署的自訂憑證佈建所有主機。在此案例中,Auto Deploy 伺服器會變為第三方 CA 的下層憑證授權機構。

必要條件

  • 向 CA 要求憑證。憑證必須符合這些需求。
    • 金鑰大小:2048 位元或以上 (PEM 編碼)
    • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8
    • x509 第 3 版
    • 若為根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。
    • SubjectAltName 必須包含 DNS Name=<machine_FQDN>
    • CRT 格式
    • 包含下列金鑰使用方法:數位簽章、不可否認性、金鑰編密
    • 某天的開始時間早於目前時間
    • CN (和 SubjectAltName) 設為 ESXi主機在vCenter Server 詳細目錄中所擁有的主機名稱 (或 IP 位址)。
  • 將憑證和金鑰檔案命名為 rbd-ca.crtrbd-ca.key

程序

  1. 備份預設 ESXi 憑證。
    憑證位於 /etc/vmware-rbd/ssl/ 目錄中。
  2. vSphere Web Client,停止 Auto Deploy 服務。
    1. 選取管理,然後在部署下按一下系統組態
    2. 按一下服務
    3. 在您要停止的服務上按一下滑鼠右鍵,然後選取停止
  3. 在 Auto Deploy 服務執行的系統上,將 /etc/vmware-rbd/ssl/ 中的 rbd-ca.crtrbd-ca.key 取代為您的自訂憑證和金鑰檔案。
  4. 在執行 Auto Deploy 服務的系統上,執行下列命令更新 VECS 內的 TRUSTED_ROOTS 存放區以使用新憑證。
    選項 說明
    Windows
    cd C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe
    vecs-cli entry delete --store TRUSTED_ROOTS --alias rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias rbd_cert 
    --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    Linux
    cd /usr/lib/vmware-vmafd/bin/vecs-cli
    vecs-cli entry delete --store TRUSTED_ROOTS --alias	rbd_cert  
    vecs-cli entry create --store TRUSTED_ROOTS --alias	rbd_cert 
    --cert /etc/vmware-rbd/ssl/rbd-ca.crt
  5. 建立可包含 TRUSTED_ROOTS 存放區中內容的 castore.pem 檔案,然後將該檔案放置在 /etc/vmware-rbd/ssl/ 目錄中。
    在自訂模式中,您負責維護此檔案。
  6. vCenter Server 系統的 ESXi 憑證模式變更為自訂
    請參閱 變更憑證模式
  7. 重新啟動 vCenter Server 服務,然後啟動 Auto Deploy 服務。

結果

下一次您佈建已設定為使用 Auto Deploy 的主機時,Auto Deploy 伺服器會產生憑證。Auto Deploy 伺服器使用您剛剛新增至 TRUSTED_ROOTS 存放區的根憑證。

備註: 如果您在取代憑證後使用 Auto Deploy 時遇到問題,請參閱 VMware 知識庫文章 2000988