設定或更新憑證基礎結構所需的工作取決於您的環境中的需求。您必須考量是要執行全新安裝還是升級,以及是否正考慮使用 ESXi 或 vCenter Server。
未取代 VMware 憑證的管理員
VMCA 可處理所有憑證管理。VMCA 使用以 VMCA 做為根憑證授權機構的憑證佈建 vCenter Server 元件和 ESXi 主機。如果您要從舊版 vSphere 升級為 vSphere 6,所有自我簽署的憑證都會取代為 VMCA 簽署的憑證。
如果您目前沒有取代 VMware 憑證,則您的環境將開始使用 VMCA 簽署憑證而非自我簽署的憑證。
將 VMware 憑證取代為自訂憑證的管理員
如果公司原則需要由第三方或企業 CA 簽署的憑證,或需要自訂憑證資訊,則您有數個全新安裝選擇。
- 使 VMCA 根憑證經第三方 CA 或企業 CA 簽署。將 VMCA 根憑證取代為該簽署的憑證。在此情況下,VMCA 憑證為中繼憑證。VMCA 使用包含完整憑證鏈結的憑證佈建 vCenter Server 元件和 ESXi 主機。
- 如果公司原則不允許鏈結中存在中繼憑證,則可以明確取代這些憑證。您可以使用 vSphere Client、vSphere Certificate Manager 公用程式,或使用憑證管理 CLI 執行手動憑證取代。
升級使用自訂憑證的環境時,您可以保留部分憑證。
- ESXi主機會在升級期間保留其自訂憑證。請確定 vCenter Server 升級程序會將所有相關根憑證新增到 vCenter Server 上 VECS 中的 TRUSTED_ROOTS 存放區。
升級至 vSphere 6.0 或更新版本後,可以將憑證模式設定為自訂。如果憑證模式為 VMCA (預設值),且使用者從 vSphere Client 執行憑證重新整理,則 VMCA 簽署憑證會取代自訂憑證。
- 對於 vCenter Server 元件,發生的情況取決於現有環境。
- 若要將簡單安裝升級為內嵌式部署,則 vCenter Server 會保留自訂憑證。升級後,您的環境會如往常一般正常運作。
- 對於多站台部署升級,vCenter Single Sign-On 可位於與其他 vCenter Server 元件不同的機器上。在此情況下,升級程序會建立包含 Platform Services Controller 節點及一或多個管理節點的多節點部署。
此案例會保留現有 vCenter Server 及 vCenter Single Sign-On 憑證。這些憑證將用做機器 SSL 憑證。
此外,VMCA 會將 VMCA 簽署憑證指派給每個解決方案使用者 (vCenter 服務集合)。解決方案使用者僅使用此憑證來向 vCenter Single Sign-On 進行驗證。公司原則通常不要求取代解決方案使用者憑證。
您無法繼續使用過去可用於 vSphere 5.5 安裝的 vSphere 5.5 憑證取代工具。新的架構將導致服務分佈與放置不同。新的命令列公用程式 vSphere Certificate Manager 可供大部分憑證管理工作使用。
vSphere 憑證介面
介面 | 使用 |
---|---|
vSphere Client | 透過圖形化使用者介面執行一般憑證工作。 |
vSphere Certificate Manager 公用程式 | 從 vCenter Server 安裝的命令列執行一般憑證取代工作。 |
憑證管理 CLI | 使用 dir-cli、certool 和 vecs-cli 執行所有憑證管理工作。 |
vSphere Web Client | 檢視憑證,包括到期資訊。 |
對於 ESXi,您可以從 vSphere Client 執行憑證管理。VMCA 會佈建憑證並將其本機儲存於 ESXi 主機。VMCA 不會在 VMDIR 或 VECS 中儲存 ESXi 主機憑證。請參閱 vSphere 安全性說明文件。
支援的 vCenter 憑證
對於 vCenter Server、Platform Services Controller 以及相關的機器與服務,支援下列憑證:
- 由 VMware Certificate Authority (VMCA) 產生及簽署的憑證。
- 自訂憑證。
- 從您自己的內部 PKI 產生的企業憑證。
- 由外部 PKI (例如 Verisign、GoDaddy 等) 產生的第三方 CA 簽署憑證。
使用 OpenSSL 建立的自我簽署憑證,若無根 CA 存在則不支援