您公司的安全性原則,可能要求您在每台主機上將預設 ESXi SSL 憑證,取代為第三方 CA 簽署的憑證。
依預設,vSphere 元件所使用的 VMCA 簽署的憑證和金鑰,均是於安裝過程中所建立。如果意外刪除了 VMCA 簽署的憑證,請從其 vCenter Server 系統中移除主機,然後再重新新增該主機。當您新增主機時,vCenter Server 會從 VMCA 申請新憑證並使用該憑證佈建主機。
將 VMCA 簽署的憑證取代為由受信任的 CA (商業 CA 或組織 CA) 簽署的憑證 (如果公司原則需要)。
預設憑證與 vSphere 5.5 憑證均位於相同位置。您可以使用多種方式將預設憑證取代為受信任的憑證。
備註: 在 vSphere Web Services SDK 中,您也可以使用
vim.CertificateManager 和
vim.host.CertificateManager 受管理物件。請參閱 vSphere Web Services SDK 說明文件。
取代憑證之後,您必須在管理主機的 vCenter Server 系統上,更新 VECS 中的 TRUSTED_ROOTS 存放區,以確保 vCenter Server 和 ESXi 主機具有信任關係。
如需有關針對 ESXi 主機使用 CA 簽署憑證的詳細指示,請參閱憑證模式切換工作流程。
備註: 如果您要取代屬於 vSAN 叢集一部分的
ESXi 主機上的 SSL 憑證,請遵循 VMware 知識庫文章中的步驟進行操作,網址為:
https://kb.vmware.com/s/article/56441。
