從 vSphere 6.0 開始,ESXi 主機預設會佈建 VMCA 提供的憑證。您可以改用自訂憑證模式,或傳統的指紋模式 (用於偵錯目的)。大多數情況下,模式切換具有破壞性,且無需執行。如果您確實需要模式切換,請在開始前檢閱潛在的影響。

在 vSphere 6.0 及更新版本中, vCenter Server 支援 ESXi 主機的下列憑證模式。
憑證模式 說明
VMware Certificate Authority (預設) 依預設,VMware Certificate Authority 用作 ESXi 主機憑證的 CA。依預設,VMCA 為根 CA,但可將其設定為其他 CA 的媒介 CA。在此模式下,使用者可從 vSphere Client 管理憑證。VMCA 為下層憑證時也會使用。
自訂憑證授權機構 某些客戶可能偏好管理其自己的外部憑證授權機構。在此模式下,由客戶負責管理憑證,無法從 vSphere Client 管理憑證。
指紋模式 vSphere 5.5 使用的是指紋模式,此模式仍以 vSphere 6.0 之後援選項的形式提供。除非您使用其他兩種模式時遇到無法解決的問題,否則請勿使用此模式。在指紋模式下,vCenter 6.0 及更新版本的某些服務可能無法正常運作。

使用自訂 ESXi 憑證

如果公司原則要求您使用 VMCA 以外的根 CA,您可以在仔細規劃後於環境中切換憑證模式。工作流程如下所示。

  1. 取得您想要使用的憑證。
  2. 將一或多個主機置於維護模式,並將其與 vCenter Server 中斷連線。
  3. 將自訂 CA 的根憑證新增到 VECS。
  4. 將自訂 CA 憑證部署到每部主機,然後在該主機上重新啟動服務。
  5. 切換為 [自訂 CA] 模式。請參閱變更憑證模式
  6. 將一或多個主機連線到 vCenter Server 系統。

從自訂 CA 模式切換為 VMCA 模式

如果您目前使用自訂 CA 模式,並判定環境中使用 VMCA 會運作更佳,可在仔細規劃後執行模式切換。工作流程如下所示。

  1. vCenter Server 系統移除所有主機。
  2. vCenter Server 系統上,從 VECS 移除第三方 CA 的根憑證。
  3. 切換為 VMCA 模式。請參閱變更憑證模式
  4. 將主機新增到 vCenter Server 系統。
備註: 此模式切換的任何其他工作流程可能會導致無法預期的行為。

保留升級期間的指紋模式憑證

如果使用 VMCA 憑證時遇到問題,則可能必須從 VMCA 模式切換為指紋模式。在指紋模式下,vCenter Server 系統僅會檢查憑證是否存在以及是否正確格式化,而不會檢查憑證是否有效。如需指示,請參閱變更憑證模式

從指紋模式切換為 VMCA 模式

如果您使用指紋模式,並且想開始使用 VMCA 簽署的憑證,則切換工作需要進行一些規劃。工作流程如下所示。

  1. vCenter Server 系統移除所有主機。
  2. 切換為 VMCA 憑證模式。請參閱變更憑證模式
  3. 將主機新增到 vCenter Server 系統。
備註: 此模式切換的任何其他工作流程可能會導致無法預期的行為。

從自訂 CA 模式切換為指紋模式

如果您在使用自訂 CA 模式時遇到問題,請考量暫時切換為指紋模式。如果您依照變更憑證模式中的指示執行,切換工作將會順暢完成。模式切換後,vCenter Server 系統僅會檢查憑證的格式,而不再檢查憑證本身的有效性。

從指紋模式切換為自訂 CA 模式

如果您在疑難排解期間將環境設定為指紋模式,並且想要開始使用自訂 CA 模式,必須先產生所需的憑證。工作流程如下所示。

  1. vCenter Server 系統移除所有主機。
  2. vCenter Server 系統上,將自訂 CA 根憑證新增到 VECS 上的 TRUSTED_ROOTS 存放區。請參閱更新 vCenter Server TRUSTED_ROOTS 存放區 (自訂憑證)
  3. 針對每部 ESXi 主機:
    1. 部署自訂 CA 憑證和金鑰。
    2. 重新啟動主機上的服務。
  4. 切換為自訂模式。請參閱變更憑證模式
  5. 將主機新增到 vCenter Server 系統。