許多公司僅要求您取代可從外部存取之服務的憑證。但 Certificate Manager 也支援取代解決方案使用者憑證。解決方案使用者是服務的集合,例如,與 vSphere Client相關聯的所有服務。

如果系統提示您使用解決方案使用者憑證,請提供第三方 CA 的完整簽署憑證鏈結。

格式會類似下列內容。 
-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

必要條件

開始前,您需要環境中每台機器的 CSR。您可以使用 vSphere Certificate Manager 或明確地產生 CSR。

  1. 若要使用 vSphere Certificate Manager 產生 CSR,請參閱使用 vSphere Certificate Manager 產生憑證簽署要求 (自訂憑證)
  2. 向第三方或企業 CA 為每個節點上的每個解決方案使用者要求憑證。您可以使用 vSphere Certificate Manager 產生 CSR,也可以手動準備。CSR 必須符合以下需求:
    • 金鑰大小:2048 位元 (下限) 至 16384 位元 (上限) (PEM 編碼)
    • CRT 格式
    • x509 第 3 版
    • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。

    • 每個解決方案使用者憑證必須具有不同的 Subject。例如,您可以考慮加入解決方案使用者名稱 (例如 vpxd) 或其他唯一識別碼。

    • 包含下列金鑰使用方法:數位簽章、金鑰編密

另請參閱 VMware 知識庫文章〈從 Microsoft 憑證授權機構取得 vSphere 憑證〉,網址為 http://kb.vmware.com/kb/2112014

程序

  1. 啟動 vSphere Certificate Manager 並選取選項 5。
  2. 選取選項 2 以啟動憑證取代並回應提示。
    vSphere Certificate Manager 會提示您輸入下列資訊:
    • [email protected] 的密碼
    • 機器解決方案使用者的憑證與金鑰
    • 機器解決方案使用者的憑證和金鑰 (vpxd.crtvpxd.key)
    • 所有解決方案使用者的一組完整憑證與金鑰 (vpxd.crtvpxd.key)