根據公司原則以及要設定之系統的需求,您可以執行不同類型的憑證取代。您可以使用 vSphere Certificate Manager 公用程式或以手動方式使用安裝隨附的 CLI,從 vSphere Client 執行憑證取代。

VMware Certificate Authority (VMCA) 包含在每個 vCenter Server 部署中。VMCA 會使用由 VMCA 做為憑證授權機構進行簽署的憑證來佈建每個節點、每個 vCenter Server 解決方案使用者和每個 ESXi 主機。

您可以取代預設憑證。對於 vCenter Server 元件,您可以使用包含在安裝中的一組命令列工具。您有多個選項可供選擇。

備註: 如果 vCenter Server 連結到 NSX-T Manager 並且您取代了 vCenter Server 憑證,則必須更新 vCenter Server 計算管理程式的指紋。請參閱 《NSX-T Data Center 移轉協調器指南》中標題為「新增計算管理程式」的主題。

將憑證取代為 VMCA 簽署憑證

如果您的 VMCA 憑證到期或出於其他原因想將其取代,則可使用憑證管理 CLI 執行該程序。依預設,VMCA 根憑證會在 10 年後到期,而 VMCA 簽署的所有憑證都會在根憑證到期時到期 (即最多 10 年期限)。

圖 1. VMCA 簽署的憑證儲存在 VECS 中
在預設模式下,VMCA 會使用 VMCA 簽署的憑證進行佈建。
您可以使用下列 vSphere Certificate Manager 選項:
  • 將機器 SSL 憑證取代為 VMCA 憑證
  • 將解決方案使用者憑證取代為 VMCA 憑證

如需手動憑證取代的相關資訊,請參閱使用 CLI 將現有 VMCA 簽署憑證取代為新的 VMCA 簽署憑證

使 VMCA 成為中繼憑證授權機構

您可以使用企業憑證授權機構 (CA) 或第三方 CA 簽署的憑證取代 VMCA 根憑證。VMCA 每次佈建憑證時都可以簽署自訂根憑證,使 VMCA 成為中繼 CA。
備註: 如果執行的全新安裝中包含 vCenter Server,則在新增 ESXi 主機之前取代 VMCA 根憑證。這樣一來,VMCA 將簽署整個鏈結,且不需要產生新憑證。
圖 2. 第三方或企業 CA 簽署的憑證使用 VMCA 做為中繼 CA
VMCA 憑證做為中繼憑證納入。根憑證由第三方 CA 簽署。
您可以使用下列 vSphere Certificate Manager 選項:
  • 將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證
  • 將機器 SSL 憑證取代為 VMCA 憑證 (多節點增強型連結模式部署)
  • 將解決方案使用者憑證取代為 VMCA 憑證 (多節點增強型連結模式部署)

如需手動憑證取代的相關資訊,請參閱使用 CLI 將 VMCA 設為中繼憑證授權機構

將 VMCA 簽署憑證取代為自訂憑證

您可以使用自訂憑證取代現有的 VMCA 簽署的憑證。如果使用該方法,您將負責佈建和監控所有憑證。

圖 3. 外部憑證直接儲存在 VECS 中
外部憑證會直接儲存在 VECS 中,而不會使用 VMCA。
您可以使用下列 vSphere Certificate Manager 選項:
  • 將機器 SSL 憑證取代為自訂憑證
  • 將解決方案使用者憑證取代為自訂憑證

如需手動憑證取代的相關資訊,請參閱使用 CLI 將憑證取代為自訂憑證

也可以使用 vSphere Client 產生機器 SSL 憑證 (自訂) 的 CSR,然後在 CA 傳回憑證後將其取代。請參閱使用 vSphere Client 產生機器 SSL 憑證的憑證簽署要求 (自訂憑證)

使用混合方法部署憑證

在混合方法中,您可以讓 VMCA 提供部分憑證,但針對基礎結構的其他部分使用自訂憑證。例如,由於解決方案使用者憑證僅用於向 vCenter Single Sign-On 進行驗證,因此,請考慮讓 VMCA 佈建這些憑證。將機器 SSL 憑證取代為自訂憑證以確保所有 SSL 流量安全。

公司原則通常不允許存在中繼 CA。在這些情況下,混合部署是很好的解決方案。這樣可最大限度地減少要取代的憑證數目,並確保所有流量的安全。混合部署僅保留內部流量 (即解決方案使用者流量) 以使用預設 VMCA 簽署憑證。

如需詳細資訊,請參閱標題為〈新產品逐步解說 - 混合 vSphere SSL 憑證取代〉的部落格文章,網址為 http://vmware.com/go/hybridvmca

ESXi 憑證取代

對於 ESXi 主機,您可以透過 vSphere Client 變更憑證佈建行為。如需詳細資料,請參閱 vSphere 安全性說明文件。

表 1. ESXi 憑證取代選項
選項 說明
VMware Certificate Authority 模式 (預設) vSphere Client 更新憑證時,VMCA 會核發用於主機的憑證。如果您將 VMCA 根憑證變更為包含憑證鏈結,則主機憑證會包含完整鏈結。
自訂憑證授權機構模式 允許您手動更新和使用並非由 VMCA 簽署或核發的憑證。
指紋模式 可用於在重新整理期間保留 5.5 憑證。將此模式僅暫時用於偵錯情況。