依預設,Auto Deploy 伺服器會使用由 VMCA 簽署的憑證佈建每台主機。可以將 Auto Deploy 伺服器設定為使用不是 VMCA 簽署的自訂憑證佈建所有主機。在此案例中,Auto Deploy 伺服器會變為第三方 CA 的下層憑證授權機構。

必要條件

  • 向 CA 要求憑證。憑證必須符合這些需求。
    • 金鑰大小:2048 位元或以上 (PEM 編碼)
    • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
    • x509 第 3 版
    • 若為根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。
    • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
    • CRT 格式
    • 包含下列金鑰使用方法:數位簽章、不可否認性、金鑰編密
    • 某天的開始時間早於目前時間。
    • CN (和 SubjectAltName) 設為 ESXi 主機在 vCenter Server 詳細目錄中所擁有的主機名稱 (或 IP 位址)。
  • 將憑證和金鑰檔案命名為 rbd-ca.crtrbd-ca.key

程序

  1. 備份預設 ESXi 憑證。
    憑證位於 /etc/vmware-rbd/ssl/ 目錄中。
  2. 停止 vSphere Authentication Proxy 服務。
    工具 步驟
    vCenter Server Appliance 管理介面 (VAMI)
    1. 在網頁瀏覽器中,前往 vCenter Server Appliance 管理介面 (https:// appliance-IP-address-or-FQDN:5480)。
    2. 以 root 身分登入。

      預設根密碼為部署 vCenter Server Appliance 時設定的密碼。

    3. 按一下服務,然後按一下 VMware vSphere Authentication Proxy 服務
    4. 按一下停止
    vSphere Web Client
    1. 選取管理,然後在部署下按一下系統組態
    2. 按一下服務,然後按一下 VMware vSphere Authentication Proxy 服務。
    3. 按一下紅色的停止服務圖示。
    CLI
    service-control --stop vmcam
    
  3. 在 Auto Deploy 服務執行的系統上,將 /etc/vmware-rbd/ssl/ 中的 rbd-ca.crtrbd-ca.key 取代為您的自訂憑證和金鑰檔案。
  4. 在執行 Auto Deploy 服務的系統上,執行下列命令更新 VECS 內的 TRUSTED_ROOTS 存放區以使用新憑證。
    選項 說明
    Windows
    cd "C:\Program Files\VMware\vCenter Server\vmafdd\"
    .\dir-cli.exe trustedcert publish --cert C:\ProgramData\VMware\vCenterServer\data\autodeploy\ssl\rbd-ca.crt
    .\vecs-cli force-refresh
    Linux
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
    /usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
  5. 建立可包含 TRUSTED_ROOTS 存放區中內容的 castore.pem 檔案,然後將該檔案放置在 /etc/vmware-rbd/ssl/ 目錄中。
    在自訂模式中,您負責維護此檔案。
  6. vCenter Server 系統的 ESXi 憑證模式變更為自訂
    請參閱 變更憑證模式
  7. 重新啟動 vCenter Server 服務,然後啟動 Auto Deploy 服務。

結果

下一次您佈建已設定為使用 Auto Deploy 的主機時,Auto Deploy 伺服器會產生憑證。Auto Deploy 伺服器使用您剛剛新增至 TRUSTED_ROOTS 存放區的根憑證。

備註: 如果您在取代憑證後使用 Auto Deploy 時遇到問題,請參閱 VMware 知識庫文章,網址為 http://kb.vmware.com/kb/2000988