在 vSphere 6.0 及更新版本中,VMware Certificate Authority (VMCA) 會使用已簽署憑證 (VMCA 預設做為根憑證授權機構) 來佈建每個新的 ESXi 主機。當主機明確新增至 vCenter Server,或在安裝或升級至 ESXi 6.0 或更新版本的過程中新增時,會執行佈建。

可以透過 vSphere Client 及使用 vSphere Web Services SDK 中的 vim.CertificateManager API 來檢視和管理 ESXi 憑證。您無法透過用於管理 vCenter Server 憑證的憑證管理 CLI 來檢視或管理 ESXi 憑證。

vSphere 5.5 和 vSphere 6.x 中的憑證

ESXivCenter Server 通訊時,會將 TLS/SSL 用於幾乎所有管理流量。

在 vSphere 5.5 及更早版本中,僅透過使用者名稱、密碼和指紋的組合來保護 TLS/SSL 端點的安全。使用者可以將對應的自我簽署憑證取代為自己的憑證。請參閱 vSphere 5.5 說明文件中心。

在 vSphere 6.0 及更新版本中, vCenter Server 支援 ESXi 主機的下列憑證模式。
表 1. ESXi 主機的憑證模式
憑證模式 說明
VMware Certificate Authority (預設) 如果 VMCA 做為頂層 CA 或中繼 CA 佈建所有 ESXi 主機,則使用此模式。

依預設,VMCA 會使用憑證佈建 ESXi 主機。

在此模式下,您可以透過 vSphere Client 重新整理和更新憑證。

自訂憑證授權機構 若要僅使用由第三方或企業 CA 簽署的自訂憑證,請使用此模式。
在此模式下,您負責管理憑證。無法透過 vSphere Client 重新整理和更新憑證。
備註: 除非您將憑證模式變更為自訂憑證授權機構,否則 VMCA 可能會取代自訂憑證,例如,當您在 vSphere Client 中選取 更新時。
指紋模式 vSphere 5.5 使用的是指紋模式,此模式仍以 vSphere 6.x 之後援選項的形式提供。在此模式中,vCenter Server 會檢查憑證是否已正確格式化,但不會檢查憑證的有效性。即使憑證已到期亦可接受。

除非您使用其他兩種模式時遇到無法解決的問題,否則請勿使用此模式。在指紋模式下,vCenter 6.x 及更新版本的某些服務可能無法正常運作。

憑證到期

從 vSphere 6.0 開始,您可以在 vSphere Client 中檢視由 VMCA 或第三方 CA 簽署之憑證的憑證到期相關資訊。您可以檢視 vCenter Server 管理之所有主機或個別主機的資訊。如果憑證處於即將到期狀態 (少於 8 個月),則會引發黃色警示。如果憑證處於即將到期狀態 (少於 2 個月),則會引發紅色警示。

ESXi 佈建和 VMCA

當您從安裝媒體將 ESXi 主機開機時,該主機一開始會有自動產生的憑證。將主機新增至 vCenter Server 系統後,會使用由 VMCA 簽署做為根 CA 的憑證進行佈建。

此程序類似於使用 Auto Deploy 佈建的主機。但是,由於這些主機並未儲存任何狀態,因此,已簽署憑證由 Auto Deploy 伺服器儲存在本機憑證存放區中。後續將 ESXi 主機開機時,會重複使用該憑證。Auto Deploy 伺服器是任何內嵌式部署或 vCenter Server 系統的一部分。

如果 VMCA 在 Auto Deploy 主機首次開機時不可用,則主機會先嘗試連線。如果主機無法連線,則會循環關閉和重新開機,直到 VMCA 變為可用且能夠透過已簽署憑證佈建主機為止。

ESXi 憑證管理所需的權限

您必須具有 憑證.管理憑證 權限,才能管理 ESXi 主機的憑證。您可以從 vSphere Client 設定該權限。

主機名稱和 IP 位址變更

在 vSphere 6.0 及更新版本中,主機名稱或 IP 位址變更可能會影響 vCenter Server 是否將主機憑證視為有效。將主機新增至 vCenter Server 的方式會影響是否需要手動介入。手動介入是指重新連線主機,或將主機從 vCenter Server 移除然後再次新增。

表 2. 主機名稱或 IP 位址變更何時需要手動介入
透過下列方式將主機新增至 vCenter Server... 主機名稱變更 IP 位址變更
主機名稱 vCenter Server 連線問題。需要手動介入。 不需要介入。
IP 位址 不需要介入。 vCenter Server 連線問題。需要手動介入。