您可使用 vSphere Certificate Manager 公用程式來用自訂憑證取代所有憑證。啟動此程序之前,必須向您的憑證授權機構 (CA) 傳送 CSR。您可使用 Certificate Manager 來產生 CSR。

一個選項只能取代機器 SSL 憑證,並使用 VMCA 佈建的解決方案使用者憑證。解決方案使用者憑證僅用於 vSphere 元件之間的通訊。

使用自訂憑證時,請將 VMCA 簽署的憑證取代為自訂憑證。您可以使用vSphere Client、vSphere Certificate Manager 公用程式或 CLI 進行手動憑證取代。憑證存儲在 VECS 中。

若要將所有憑證取代為自訂憑證,必須多次執行 vSphere Certificate Manager 公用程式。取代機器 SSL 憑證和解決方案使用者憑證的高層級步驟包括:

  1. 啟動 vSphere Certificate Manager 公用程式。
  2. 在每台機器上分別產生機器 SSL 憑證和解決方案使用者憑證的憑證簽署要求。
    1. 若要為機器 SSL 憑證產生 CSR,請選取選項 1 [將機器 SSL 憑證取代為自訂憑證]。再次提示選取選項時,選取選項 1 [為機器 SSL 憑證產生憑證簽署要求和金鑰]。
    2. 如果公司原則不允許混合部署,請選取選項 5 [將解決方案使用者憑證取代為自訂憑證]。
  3. 將 CSR 提交至外部或企業 CA。您會從 CA 收到一個已簽署的憑證和一個根憑證。
  4. 從 CA 收到簽署憑證和根憑證後,使用選項 1 [將機器 SSL 憑證取代為自訂憑證] 取代每台機器上的機器 SSL 憑證。
  5. 如果還希望取代解決方案使用者憑證,請選取選項 5 [將解決方案使用者憑證取代為自訂憑證]。
  6. 最後,在增強型連結模式組態中連線多個 vCenter Server 執行個體時,請在每個節點上重複此程序。

使用 Certificate Manager 產生憑證簽署要求 (自訂憑證)

您可以使用 vSphere Certificate Manager 公用程式產生可隨後與企業 CA 搭配使用或傳送到外部憑證授權機構的憑證簽署要求 (CSR)。您可以將憑證與不同的受支援憑證取代程序搭配使用。

必要條件

vSphere Certificate Manager 會提示您輸入資訊。這些提示取決於您的環境和想要取代的憑證類型。

  • 每次要產生 CSR 時,系統都會提示您輸入 [email protected] 使用者的密碼,或所連線之 vCenter Single Sign-On 網域的管理員。
  • 系統會提示您輸入 vCenter Server 的主機名稱或 IP 位址。
  • 若要產生機器 SSL 憑證的 CSR,系統會提示您輸入憑證內容,這些內容儲存在 certool.cfg 檔案中。對於大部分的欄位,您可以接受預設值,或提供站台專屬值。機器的 FQDN 為必填。
    備註: 在 vSphere 8.0 及更新版本中,如果使用 vSphere Certificate Manager 產生 CSR,則金鑰大小下限將從 2048 位元變更為 3072 位元。在 vSphere 8.0 Update 1 及更新版本中,使用 vSphere Client 產生金鑰大小為 2048 位元的 CSR。
    備註: vSphere 的 FIPS 憑證僅驗證 2048 位元和 3072 位元的 RSA 金鑰大小。

程序

  1. 登入環境中的每個 vCenter Server (vCenter Server shell),然後啟動 vSphere Certificate Manager。
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 選取選項 1 [將機器 SSL 憑證取代為自訂憑證]。
  3. 輸入管理員使用者和密碼。
  4. 選取選項 1 [為機器 SSL 憑證產生憑證簽署要求和金鑰],以產生 CSR,回應提示並結束 vSphere Certificate Manager。
    在程序過程中,您必須提供目錄。vSphere Certificate Manager 會將憑證和金鑰檔案放置於目錄中。
  5. 如果還希望取代所有解決方案使用者憑證,請重新啟動 vSphere Certificate Manager 並選取選項 5 [將解決方案使用者憑證取代為自訂憑證]。
  6. 提供密碼以及 vCenter Server IP 位址或主機名稱 (如果出現此提示)。
  7. 選取選項 1 [為解決方案使用者憑證產生憑證簽署要求和金鑰],以產生 CSR,回應提示並結束 vSphere Certificate Manager。
    在程序過程中,您必須提供目錄。Certificate Manager 會將憑證和金鑰檔案放置於目錄中。

下一步

若要執行憑證取代,請參閱使用 Certificate Manager 將機器 SSL 憑證取代為自訂憑證

使用 Certificate Manager 將機器 SSL 憑證取代為自訂憑證

您可以使用 vSphere Certificate Manager 公用程式將每個節點上的機器 SSL 憑證取代為自訂憑證。機器 SSL 憑證是由每個 vCenter Server 節點上的反向 Proxy 服務所使用。每台機器必須具有機器 SSL 憑證,以便與其他服務進行安全通訊。

必要條件

開始前,您需要環境中每台機器的 CSR。您可以使用 vSphere Certificate Manager 或明確地產生 CSR。

  1. 若要使用 vSphere Certificate Manager 產生 CSR,請參閱使用 Certificate Manager 產生憑證簽署要求 (自訂憑證)
  2. 若要明確產生 CSR,請向第三方或企業 CA 要求每台機器的憑證。憑證必須符合以下需求:
    • 金鑰大小:2048 位元 (下限) 至 8192 位元 (上限) (PEM 編碼)
    • CRT 格式
    • x509 第 3 版
    • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
    • 包含下列金鑰使用方法:數位簽章、金鑰編密

另請參閱 VMware 知識庫文章〈從 Microsoft 憑證授權機構取得 vSphere 憑證〉,網址為 https://kb.vmware.com/s/article/2112014

程序

  1. 登入 vCenter Server,然後啟動 vSphere Certificate Manager。
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 選取選項 1 [將機器 SSL 憑證取代為自訂憑證]。
  3. 輸入管理員使用者和密碼。
  4. 選取選項 2 [匯入自訂憑證和金鑰以取代現有機器 SSL 憑證],啟動憑證取代並回應提示。
    vSphere Certificate Manager 會提示您輸入下列資訊:
    • [email protected] 的密碼
    • 有效的機器 SSL 自訂憑證 (.crt 檔案)
    • 有效的機器 SSL 自訂金鑰 (.key 檔案)
    • 用於自訂機器 SSL 憑證 (.crt 檔案) 的有效簽署憑證
    • vCenter Server 的 IP 位址

使用 Certificate Manager 將解決方案使用者憑證取代為自訂憑證

許多公司僅要求您取代可從外部存取之服務的憑證。但是,vSphere Certificate Manager 公用程式也支援取代解決方案使用者憑證。解決方案使用者是服務的集合,例如,與 vSphere Client 相關聯的所有服務。

如果系統提示您使用解決方案使用者憑證,請提供第三方 CA 的完整簽署憑證鏈結。

格式會類似下列內容。
-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

必要條件

開始前,您需要環境中每台機器的 CSR。您可以使用 vSphere Certificate Manager 或明確地產生 CSR。

  1. 若要使用 vSphere Certificate Manager 產生 CSR,請參閱使用 Certificate Manager 產生憑證簽署要求 (自訂憑證)
  2. 向第三方或企業 CA 為每個節點上的每個解決方案使用者要求憑證。您可以使用 vSphere Certificate Manager 產生 CSR,也可以手動準備。CSR 必須符合以下需求:
    • 金鑰大小:2048 位元 (下限) 至 8192 位元 (上限) (PEM 編碼)
    • CRT 格式
    • x509 第 3 版
    • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
    • 每個解決方案使用者憑證必須具有不同的 Subject。例如,您可以考慮加入解決方案使用者名稱 (例如 vpxd) 或其他唯一識別碼。

    • 包含下列金鑰使用方法:數位簽章、金鑰編密

另請參閱 VMware 知識庫文章〈從 Microsoft 憑證授權機構取得 vSphere 憑證〉,網址為 http://kb.vmware.com/kb/2112014

程序

  1. 登入 vCenter Server,然後啟動 vSphere Certificate Manager。
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 選取選項 5 [將解決方案使用者憑證取代為自訂憑證]。
  3. 輸入 SSO 使用者和密碼。
  4. 選取選項 2 [匯入自訂憑證和金鑰以取代現有解決方案使用者憑證],然後回應提示。
    vSphere Certificate Manager 會提示您輸入下列資訊:
    • [email protected] 的密碼
    • 機器解決方案使用者的憑證與金鑰
    • 機器解決方案使用者的憑證和金鑰 (vpxd.crtvpxd.key)
    • 所有解決方案使用者的一組完整憑證與金鑰 (vpxd.crtvpxd.key)