如果您將 ESXi 主機升級到 ESXi 6.5 或更新版本,升級程序會將自我簽署 (指紋) 的憑證取代為 VMCA 簽署的憑證。如果 ESXi 主機使用自訂憑證,則升級程序會保留這些憑證,即使這些憑證已過期或無效也如此。
建議的升級工作流程取決於目前的憑證。
- 使用指紋憑證佈建的主機
-
如果您的主機目前使用指紋憑證,則在升級過程中,它會自動獲指派 VMCA 憑證。
備註: 您無法使用 VMCA 憑證佈建舊版主機。您必須將這些主機升級至 ESXi 6.5 或更新版本。
- 使用自訂憑證佈建的主機
-
如果您的主機使用自訂憑證 (通常是第三方 CA 簽署的憑證) 佈建,則在升級期間這些憑證會保留在原位。將憑證模式變更為
自訂,以確保在稍後的憑證重新整理期間憑證不會被意外取代。
備註: 如果您的環境處於 VMCA 模式下,並且您從 vSphere Client 重新整理憑證,則任何現有憑證都會取代為 VMCA 簽署的憑證。
然後,vCenter Server 會監控憑證,並在 vSphere Client 中顯示諸如憑證到期等資訊。
- 使用 Auto Deploy 佈建的主機
- 由 Auto Deploy 佈建的主機首次以 ESXi 6.5 或更新版本的軟體開機時,將一律獲指派新憑證。在您升級由 Auto Deploy 佈建的主機時,Auto Deploy 伺服器會針對該主機產生憑證簽署要求 (CSR) 並將其提交給 VMCA。VMCA 會為該主機儲存已簽署的憑證。當 Auto Deploy 伺服器佈建主機時,它會從 VMCA 擷取憑證,並將其納入佈建程序。