設定或更新 vSphere 憑證基礎結構所需的工作取決於您環境的需求。您必須考量是要執行全新安裝還是升級,以及是否正考慮使用 ESXi 或 vCenter Server。
使用 VMware Certificate Authority 憑證的環境
VMware Certificate Authority (VMCA) 可以處理所有憑證管理。VMCA 使用以 VMCA 做為根憑證授權機構的憑證佈建 vCenter Server 元件和 ESXi 主機。如果您要從舊版 vSphere 升級到 vSphere 6.0 或更新版本,所有自我簽署憑證都會取代為 VMCA 簽署的憑證。
如果您目前沒有取代 VMware 憑證,則您的環境將開始使用 VMCA 簽署憑證而非自我簽署的憑證。
使用自訂憑證的環境
如果公司原則需要由第三方或企業憑證授權機構簽署的憑證,或需要自訂憑證資訊,則您有數個全新安裝選擇。
- 使 VMCA 根憑證經第三方 CA 或企業 CA 簽署。將 VMCA 根憑證取代為該簽署的憑證。在此情況下,VMCA 憑證為中繼憑證。VMCA 使用包含完整憑證鏈結的憑證佈建 vCenter Server 元件和 ESXi 主機。
- 如果公司原則不允許鏈結中存在中繼憑證,則可以明確取代這些憑證。您可以使用 vSphere Client、vSphere Certificate Manager 公用程式,或使用憑證管理 CLI 執行手動憑證取代。
升級使用自訂憑證的環境時,您可以保留部分憑證。
- ESXi 主機會在升級期間保留其自訂憑證。請確定 vCenter Server 升級程序會將所有相關根憑證新增到 vCenter Server 上 VMware Endpoint 憑證存放區 (VECS) 中的 TRUSTED_ROOTS 存放區。
升級至 vSphere 6.0 或更新版本後,可以將憑證模式設定為自訂。如果憑證模式為 VMCA (預設值),並且您從 vSphere Client 執行憑證重新整理,則 VMCA 簽署憑證會取代自訂憑證。
- 若要將簡單 vCenter Server 安裝升級為內嵌式部署,則 vCenter Server 會保留自訂憑證。升級後,您的環境會如往常一般正常運作。將會保留現有的 vCenter Server 和 vCenter Single Sign-On 憑證。這些憑證將用做機器 SSL 憑證。此外,VMCA 會將 VMCA 簽署憑證指派給每個解決方案使用者 (vCenter 服務集合)。解決方案使用者僅使用此憑證來向 vCenter Single Sign-On 進行驗證。VMware 不建議取代解決方案使用者憑證。
vSphere 憑證介面
對於
vCenter Server,您可以使用下列工具和介面檢視與取代憑證。
| 介面 | 使用 |
|---|---|
| vSphere Client | 透過圖形化使用者介面執行一般憑證工作。 |
| vSphere Automation API | 請參閱《VMware vSphere Automation SDK 程式設計指南》。 |
| vSphere Certificate Manager 公用程式 | 從 vCenter Server 安裝的命令列執行一般憑證取代工作。 |
| vSphere 憑證管理 CLI | 使用 dir-cli、certool 和 vecs-cli 執行所有憑證管理工作。 |
| sso-config 公用程式 | 從 vCenter Server 安裝的命令列執行 STS 憑證管理。 |
| PowerCLI 12.4 或更新版本 (還需要 vSphere 7.0 或更新版本) | 執行受信任憑證儲存管理,管理 vCenter Server 機器 SSL 憑證以及管理 ESXi 機器 SSL 憑證。 |
對於 ESXi,您可以從 vSphere Client 執行憑證管理。VMCA 會佈建憑證並將其本機儲存於 ESXi 主機。VMCA 不會在 VMDIR 或 VECS 中儲存 ESXi 主機憑證。請參閱 vSphere 安全性說明文件。
支援的 vCenter Server 憑證
對於 vCenter Server 以及相關的機器與服務,支援下列憑證:
- 由 VMware Certificate Authority (VMCA) 產生及簽署的憑證。
- 自訂憑證。
- 從您自己的內部 PKI 產生的企業憑證。
- 由外部 PKI (例如 Verisign、GoDaddy 等) 產生的第三方 CA 簽署憑證。
使用 OpenSSL 建立的自我簽署憑證,若無根 CA 存在則不支援
