從 vSphere 6.0 開始,ESXi 主機預設會佈建 VMCA 提供的憑證。您可以改用自訂憑證模式,或傳統的指紋模式 (用於偵錯目的)。大多數情況下,模式切換具有破壞性,且無需執行。如果您確實需要模式切換,請在開始前檢閱潛在的影響。
在 vSphere 6.0 及更新版本中,
vCenter Server 支援
ESXi 主機的下列憑證模式。
憑證模式 | 說明 |
---|---|
VMware Certificate Authority (預設) | 依預設,VMware Certificate Authority 用作 ESXi 主機憑證的 CA。依預設,VMCA 為根 CA,但可將其設定為其他 CA 的媒介 CA。在此模式下,使用者可從 vSphere Client 管理憑證。VMCA 為下層憑證時也會使用。 |
自訂憑證授權機構 | 某些客戶可能偏好管理其自己的外部憑證授權機構。在此模式下,由客戶負責管理憑證,無法從 vSphere Client 管理憑證。 |
指紋模式 | vSphere 5.5 使用的是指紋模式,此模式仍以 vSphere 6.0 之後援選項的形式提供。除非您使用其他兩種模式時遇到無法解決的問題,否則請勿使用此模式。在指紋模式下,vCenter 6.0 及更新版本的某些服務可能無法正常運作。 |
使用自訂 ESXi 憑證
如果公司原則要求您使用 VMCA 以外的根 CA,您可以在仔細規劃後於環境中切換憑證模式。工作流程如下所示。
- 取得您想要使用的憑證。
- 將一或多個主機置於維護模式,並將其與 vCenter Server 中斷連線。
- 將自訂 CA 的根憑證新增到 VECS。
- 將自訂 CA 憑證部署到每部主機,然後在該主機上重新啟動服務。
- 切換為 [自訂 CA] 模式。請參閱變更憑證模式。
- 將一或多個主機連線到 vCenter Server 系統。
從自訂 CA 模式切換為 VMCA 模式
如果您目前使用自訂 CA 模式,並判定環境中使用 VMCA 會運作更佳,可在仔細規劃後執行模式切換。工作流程如下所示。
- 從 vCenter Server 系統移除所有主機。
- 在 vCenter Server 系統上,從 VECS 移除第三方 CA 的根憑證。
- 切換為 VMCA 模式。請參閱變更憑證模式。
- 將主機新增到 vCenter Server 系統。
備註: 此模式切換的任何其他工作流程可能會導致無法預期的行為。
保留升級期間的指紋模式憑證
如果使用 VMCA 憑證時遇到問題,則可能必須從 VMCA 模式切換為指紋模式。在指紋模式下,vCenter Server 系統僅會檢查憑證是否存在以及是否正確格式化,而不會檢查憑證是否有效。如需指示,請參閱變更憑證模式。
從指紋模式切換為 VMCA 模式
如果您使用指紋模式,並且想開始使用 VMCA 簽署的憑證,則切換工作需要進行一些規劃。工作流程如下所示。
- 從 vCenter Server 系統移除所有主機。
- 切換為 VMCA 憑證模式。請參閱變更憑證模式。
- 將主機新增到 vCenter Server 系統。
備註: 此模式切換的任何其他工作流程可能會導致無法預期的行為。
從自訂 CA 模式切換為指紋模式
如果您在使用自訂 CA 模式時遇到問題,請考量暫時切換為指紋模式。如果您依照變更憑證模式中的指示執行,切換工作將會順暢完成。模式切換後,vCenter Server 系統僅會檢查憑證的格式,而不再檢查憑證本身的有效性。
從指紋模式切換為自訂 CA 模式
如果您在疑難排解期間將環境設定為指紋模式,並且想要開始使用自訂 CA 模式,必須先產生所需的憑證。工作流程如下所示。
- 從 vCenter Server 系統移除所有主機。
- 在 vCenter Server 系統上,將自訂 CA 根憑證新增到 VECS 上的 TRUSTED_ROOTS 存放區。請參閱更新 vCenter ServerTRUSTED_ROOTS 存放區 (自訂憑證)。
- 針對每部 ESXi 主機:
- 部署自訂 CA 憑證和金鑰。
- 重新啟動主機上的服務。
- 切換為自訂模式。請參閱變更憑證模式。
- 將主機新增到 vCenter Server 系統。