根據公司原則以及要設定之系統的需求,您可以執行不同類型的憑證取代。您可以使用 vSphere Certificate Manager 公用程式或以手動方式使用安裝隨附的 CLI,從 vSphere Client 執行憑證取代。

VMware Certificate Authority (VMCA) 包含在每個 vCenter Server 部署中。VMCA 會使用由 VMCA 做為憑證授權機構進行簽署的憑證來佈建每個節點、每個 vCenter Server 解決方案使用者和每個 ESXi 主機。

您可以取代預設憑證。對於 vCenter Server 元件,您可以使用包含在安裝中的一組命令列工具。您有多個選項可供選擇。

將憑證取代為 VMCA 簽署憑證

如果您的 VMCA 憑證到期或出於其他原因想將其取代,則可使用憑證管理 CLI 執行該程序。依預設,VMCA 根憑證會在 10 年後到期,而 VMCA 簽署的所有憑證都會在根憑證到期時到期 (即最多 10 年期限)。

圖 1. VMCA 簽署的憑證儲存在 VECS 中
在預設模式下,VMCA 會使用 VMCA 簽署的憑證進行佈建。
您可以使用下列 vSphere Certificate Manager 選項:
  • 將機器 SSL 憑證取代為 VMCA 憑證
  • 將解決方案使用者憑證取代為 VMCA 憑證

如需手動憑證取代的相關資訊,請參閱使用 CLI 將現有 VMCA 簽署憑證取代為新的 VMCA 簽署憑證

使 VMCA 成為中繼憑證授權機構

您可以使用企業憑證授權機構 (CA) 或第三方 CA 簽署的憑證取代 VMCA 根憑證。VMCA 每次佈建憑證時都可以簽署自訂根憑證,使 VMCA 成為中繼 CA。
備註: 如果執行的全新安裝中包含 vCenter Server,則在新增 ESXi 主機之前取代 VMCA 根憑證。這樣一來,VMCA 將簽署整個鏈結,且不需要產生新憑證。
圖 2. 第三方或企業 CA 簽署的憑證使用 VMCA 做為中繼 CA
VMCA 憑證做為中繼憑證納入。根憑證由第三方 CA 簽署。
您可以使用下列 vSphere Certificate Manager 選項:
  • 將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證
  • 將機器 SSL 憑證取代為 VMCA 憑證 (多節點增強型連結模式部署)
  • 將解決方案使用者憑證取代為 VMCA 憑證 (多節點增強型連結模式部署)

如需手動憑證取代的相關資訊,請參閱使用 CLI 將 VMCA 設為中繼憑證授權機構

將 VMCA 簽署憑證取代為自訂憑證

您可以使用自訂憑證取代現有的 VMCA 簽署的憑證。如果使用該方法,您將負責佈建和監控所有憑證。

圖 3. 外部憑證直接儲存在 VECS 中
外部憑證會直接儲存在 VECS 中,而不會使用 VMCA。
您可以使用下列 vSphere Certificate Manager 選項:
  • 將機器 SSL 憑證取代為自訂憑證
  • 將解決方案使用者憑證取代為自訂憑證

如需手動憑證取代的相關資訊,請參閱使用 CLI 將憑證取代為自訂憑證

也可以使用 vSphere Client 產生機器 SSL 憑證 (自訂) 的 CSR,然後在 CA 傳回憑證後將其取代。請參閱使用 vSphere Client 產生機器 SSL 憑證的憑證簽署要求 (自訂憑證)

使用混合方法部署憑證

在混合方法中,您可以讓 VMCA 提供部分憑證,但針對基礎結構的其他部分使用自訂憑證。例如,由於解決方案使用者憑證僅用於向 vCenter Single Sign-On 進行驗證,因此,請考慮讓 VMCA 佈建這些憑證。將機器 SSL 憑證取代為自訂憑證以確保所有 SSL 流量安全。

公司原則通常不允許存在中繼 CA。在這些情況下,混合部署是很好的解決方案。這樣可最大限度地減少要取代的憑證數目,並確保所有流量的安全。混合部署僅保留內部流量 (即解決方案使用者流量) 以使用預設 VMCA 簽署憑證。

如需詳細資訊,請參閱標題為〈新產品逐步解說 - 混合 vSphere SSL 憑證取代〉的部落格文章,網址為 http://vmware.com/go/hybridvmca

ESXi 憑證取代

對於 ESXi 主機,您可以透過 vSphere Client 變更憑證佈建行為。如需詳細資料,請參閱 vSphere 安全性說明文件。

表 1. ESXi 憑證取代選項
選項 說明
VMware Certificate Authority 模式 (預設) vSphere Client 更新憑證時,VMCA 會核發用於主機的憑證。如果您將 VMCA 根憑證變更為包含憑證鏈結,則主機憑證會包含完整鏈結。
自訂憑證授權機構模式 允許您手動更新和使用並非由 VMCA 簽署或核發的憑證。
指紋模式 可用於在重新整理期間保留 5.5 憑證。將此模式僅暫時用於偵錯情況。