設定或更新憑證基礎結構所需的工作取決於您的環境中的需求。您必須考量是要執行全新安裝還是升級,以及是否正考慮使用 ESXi 或 vCenter Server。
未取代 VMware 憑證的管理員
VMCA 可處理所有憑證管理。VMCA 使用以 VMCA 做為根憑證授權機構的憑證佈建 vCenter Server 元件和 ESXi 主機。如果您要從舊版 vSphere 升級為 vSphere 6,所有自我簽署的憑證都會取代為 VMCA 簽署的憑證。
如果您目前沒有取代 VMware 憑證,則您的環境將開始使用 VMCA 簽署憑證而非自我簽署的憑證。
將 VMware 憑證取代為自訂憑證的管理員
如果公司原則需要由第三方或企業 CA 簽署的憑證,或需要自訂憑證資訊,則您有數個全新安裝選擇。
- 使 VMCA 根憑證經第三方 CA 或企業 CA 簽署。將 VMCA 根憑證取代為該簽署的憑證。在此情況下,VMCA 憑證為中繼憑證。VMCA 使用包含完整憑證鏈結的憑證佈建 vCenter Server 元件和 ESXi 主機。
- 如果公司原則不允許鏈結中存在中繼憑證,則可以明確取代這些憑證。您可以使用 vSphere Client、vSphere Certificate Manager 公用程式,或使用憑證管理 CLI 執行手動憑證取代。
升級使用自訂憑證的環境時,您可以保留部分憑證。
- ESXi 主機會在升級期間保留其自訂憑證。請確定 vCenter Server 升級程序會將所有相關根憑證新增到 vCenter Server 上 VECS 中的 TRUSTED_ROOTS 存放區。
升級至 vSphere 6.0 或更新版本後,可以將憑證模式設定為自訂。如果憑證模式為 VMCA (預設值),且使用者從 vSphere Client 執行憑證重新整理,則 VMCA 簽署憑證會取代自訂憑證。
- 若要將簡單 vCenter Server 安裝升級為內嵌式部署,則 vCenter Server 會保留自訂憑證。升級後,您的環境會如往常一般正常運作。將會保留現有的 vCenter Server 和 vCenter Single Sign-On 憑證。這些憑證將用做機器 SSL 憑證。此外,VMCA 會將 VMCA 簽署憑證指派給每個解決方案使用者 (vCenter 服務集合)。解決方案使用者僅使用此憑證來向vCenter Single Sign-On 進行驗證。公司原則通常不要求取代解決方案使用者憑證。
您可以針對大多數的憑證管理工作使用命令列公用程式 vSphere Certificate Manager。
vSphere 憑證介面
對於
vCenter Server,您可以使用下列工具和介面檢視與取代憑證。
| 介面 | 使用 |
|---|---|
| vSphere Client | 透過圖形化使用者介面執行一般憑證工作。 |
| vSphere Automation API | 請參閱《VMware vSphere Automation SDK 程式設計指南》。 |
| Certificate Manager 公用程式 | 從 vCenter Server 安裝的命令列執行一般憑證取代工作。 |
| 憑證管理 CLI | 使用 dir-cli、certool 和 vecs-cli 執行所有憑證管理工作。 |
| sso-config 公用程式 | 從 vCenter Server 安裝的命令列執行 STS 憑證管理。 |
| PowerCLI 12.4 (需要 vSphere 7.0 或更新版本) | 執行受信任憑證儲存管理,管理 vCenter Server 機器 SSL 憑證以及管理 ESXi 機器 SSL 憑證。 |
對於 ESXi,您可以從 vSphere Client 執行憑證管理。VMCA 會佈建憑證並將其本機儲存於 ESXi 主機。VMCA 不會在 VMDIR 或 VECS 中儲存 ESXi 主機憑證。請參閱 vSphere 安全性說明文件。
支援的 vCenter 憑證
對於 vCenter Server 以及相關的機器與服務,支援下列憑證:
- 由 VMware Certificate Authority (VMCA) 產生及簽署的憑證。
- 自訂憑證。
- 從您自己的內部 PKI 產生的企業憑證。
- 由外部 PKI (例如 Verisign、GoDaddy 等) 產生的第三方 CA 簽署憑證。
使用 OpenSSL 建立的自我簽署憑證,若無根 CA 存在則不支援
