許多公司僅要求您取代可從外部存取之服務的憑證。但 Certificate Manager 也支援取代解決方案使用者憑證。解決方案使用者是多種服務的集合,例如與 vSphere Client 相關聯的所有服務。在多節點部署中,取代 Platform Services Controller 上的機器解決方案使用者憑證,以及每個管理節點上的一組完整解決方案使用者。
如果系統提示您使用解決方案使用者憑證,請提供第三方 CA 的完整簽署憑證鏈結。
格式應類似以下內容。
-----BEGIN CERTIFICATE----- Signing certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- CA intermediate certificates -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Root certificate of enterprise or external CA -----END CERTIFICATE-----
必要條件
開始前,您需要環境中每台機器的 CSR。您可以使用 vSphere Certificate Manager 或明確地產生 CSR。
- 若要使用 vSphere Certificate Manager 產生 CSR,請參閱使用 vSphere Certificate Manager 產生憑證簽署要求 (自訂憑證)。
- 向第三方或企業 CA 為每個節點上的每個解決方案使用者要求憑證。您可以使用 vSphere Certificate Manager 產生 CSR,也可以手動準備。CSR 必須符合以下需求:
- 金鑰大小:2048 位元或以上 (PEM 編碼)
- CRT 格式
- x509 第 3 版
- SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
每個解決方案使用者憑證必須具有不同的 Subject。例如,您可以考慮加入解決方案使用者名稱 (例如 vpxd) 或其他唯一識別碼。
- 包含下列金鑰使用方法:數位簽章、金鑰編密
另請參閱 VMware 知識庫文章〈從 Microsoft 憑證授權機構取得 vSphere 憑證〉,網址為 http://kb.vmware.com/kb/2112014。
程序
下一步
如果要從 vSphere 5.x 環境升級,您可能必須取代 vmdir 內的 vCenter Single Sign-On 憑證。請參閱在混合模式環境中取代 VMware Directory Service 憑證。