根據公司原則以及要設定之系統的需求,您可以執行不同類型的憑證取代。您可以使用 vSphere Certificate Manager 公用程式或以手動方式使用安裝隨附的 CLI,從 vSphere Client 執行憑證取代。
VMware Certificate Authority (VMCA) 包含在每個 vCenter Server 部署中。VMCA 會使用由 VMCA 做為憑證授權機構進行簽署的憑證來佈建每個節點、每個 vCenter Server 解決方案使用者和每個 ESXi 主機。
您可以取代預設憑證。對於 vCenter Server 元件,您可以使用包含在安裝中的一組命令列工具。您有多個選項可供選擇。
將憑證取代為 VMCA 簽署憑證
如果您的 VMCA 憑證到期或出於其他原因想將其取代,則可使用憑證管理 CLI 執行該程序。依預設,VMCA 根憑證會在 10 年後到期,而 VMCA 簽署的所有憑證都會在根憑證到期時到期 (即最多 10 年期限)。
- 將機器 SSL 憑證取代為 VMCA 憑證
- 將解決方案使用者憑證取代為 VMCA 憑證
如需手動憑證取代的相關資訊,請參閱使用 CLI 將現有 VMCA 簽署憑證取代為新的 VMCA 簽署憑證。
使 VMCA 成為中繼憑證授權機構
- 將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證
- 將機器 SSL 憑證取代為 VMCA 憑證 (多節點增強型連結模式部署)
- 將解決方案使用者憑證取代為 VMCA 憑證 (多節點增強型連結模式部署)
如需手動憑證取代的相關資訊,請參閱使用 CLI 將 VMCA 設為中繼憑證授權機構。
將 VMCA 簽署憑證取代為自訂憑證
您可以使用自訂憑證取代現有的 VMCA 簽署的憑證。如果使用該方法,您將負責佈建和監控所有憑證。
- 將機器 SSL 憑證取代為自訂憑證
- 將解決方案使用者憑證取代為自訂憑證
如需手動憑證取代的相關資訊,請參閱使用 CLI 將憑證取代為自訂憑證。
也可以使用 vSphere Client 產生機器 SSL 憑證 (自訂) 的 CSR,然後在 CA 傳回憑證後將其取代。請參閱使用 vSphere Client 產生機器 SSL 憑證的憑證簽署要求 (自訂憑證)。
使用混合方法部署憑證
在混合方法中,您可以讓 VMCA 提供部分憑證,但針對基礎結構的其他部分使用自訂憑證。例如,由於解決方案使用者憑證僅用於向 vCenter Single Sign-On 進行驗證,因此,請考慮讓 VMCA 佈建這些憑證。將機器 SSL 憑證取代為自訂憑證以確保所有 SSL 流量安全。
公司原則通常不允許存在中繼 CA。在這些情況下,混合部署是很好的解決方案。這樣可最大限度地減少要取代的憑證數目,並確保所有流量的安全。混合部署僅保留內部流量 (即解決方案使用者流量) 以使用預設 VMCA 簽署憑證。
如需詳細資訊,請參閱標題為〈新產品逐步解說 - 混合 vSphere SSL 憑證取代〉的部落格文章,網址為 http://vmware.com/go/hybridvmca。
ESXi 憑證取代
對於 ESXi 主機,您可以透過 vSphere Client 變更憑證佈建行為。如需詳細資料,請參閱 vSphere 安全性說明文件。
| 選項 | 說明 |
|---|---|
| VMware Certificate Authority 模式 (預設) | 從 vSphere Client 更新憑證時,VMCA 會核發用於主機的憑證。如果您將 VMCA 根憑證變更為包含憑證鏈結,則主機憑證會包含完整鏈結。 |
| 自訂憑證授權機構模式 | 允許您手動更新和使用並非由 VMCA 簽署或核發的憑證。 |
| 指紋模式 | 可用於在重新整理期間保留 5.5 憑證。將此模式僅暫時用於偵錯情況。 |
