如果公司原則需要,可以使用 CLI 將 vSphere 中使用的某些或全部憑證取代為由第三方或企業 CA 簽署的憑證。如果執行該作業,則 VMCA 將不會在您的憑證鏈結中。您負責將所有 vCenter 憑證儲存到 VECS 中。

您可以取代所有憑證,或使用混合解決方案。例如,考量取代所有用於網路流量的憑證,但保留 VMCA 簽署解決方案使用者憑證。解決方案使用者憑證僅用於向 vCenter Single Sign-On進行驗證。vCenter Server 僅將解決方案使用者憑證用於內部通訊。不會將解決方案使用者憑證用於外部通訊。
備註: 如果您不希望使用 VMCA,就需要自行負責取代所有憑證、使用憑證佈建新的元件,以及追蹤憑證到期。

即使您決定使用自訂憑證,仍可以使用 VMware Certificate Manager 公用程式進行憑證取代。請參閱使用 Certificate Manager 將所有憑證取代為自訂憑證

如果您在取代憑證後使用 vSphere Auto Deploy 時遇到問題,請參閱 VMware 知識庫文章,網址為 http://kb.vmware.com/kb/2000988

使用 CLI 要求憑證並匯入自訂根憑證

您可以使用來自企業或第三方 CA 的自訂憑證。第一步是使用 CLI 向憑證授權機構要求憑證並將根憑證匯入 VMware Endpoint 憑證存放區 (VECS)。

必要條件

憑證必須符合以下需求:

  • 金鑰大小:2048 位元 (下限) 至 16384 位元 (上限) (PEM 編碼)
  • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
  • x509 第 3 版
  • 若為根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。
  • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
  • CRT 格式
  • 包含下列金鑰使用方法:數位簽章、金鑰編密
  • 某天的開始時間早於目前時間。
  • CN (和 SubjectAltName) 設為 ESXi 主機在 vCenter Server 詳細目錄中所擁有的主機名稱 (或 IP 位址)。
備註: vSphere 的 FIPS 憑證僅驗證 2048 位元和 3072 位元的 RSA 金鑰大小。

程序

  1. 將下列憑證的憑證簽署要求 (CSR) 傳送給您的企業或第三方憑證提供者。
    • 每台機器有一個機器 SSL 憑證。對於機器 SSL 憑證,SubjectAltName 欄位必須包含完整網域名稱 (DNS NAME=machine_FQDN)。
    • 或者,每個節點有五個解決方案使用者憑證。解決方案使用者憑證不需包含 IP 位址、主機名稱或電子郵件地址。每個憑證必須具有不同的憑證主體。

    一般來說,會為信任鏈結產生 PEM 檔案,並為每個 vCenter Server 節點產生已簽署的 SSL 憑證。

  2. 列出 TRUSTED_ROOTS 和機器 SSL 存放區。
    vecs-cli store list 
    
    1. 確認目前的根憑證和所有機器 SSL 憑證都經 VMCA 簽署。
    2. 記下序號、簽發者以及主體 CN 欄位。
    3. (選擇性) 使用網頁瀏覽器開啟將取代憑證之節點的 HTTPS 連線,檢視憑證資訊並確認其與機器 SSL 憑證相符。
  3. 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. 發佈自訂根憑證。
    dir-cli trustedcert publish --cert <my_custom_root>
    如果您未在命令列上指定使用者名稱和密碼,系統會提示您指定。
  5. 重新啟動所有服務。
    service-control --start --all
    

下一步

如果公司原則需要,您可以從憑證存放區移除原始的 VMCA 根憑證。如果您這麼做,必須重新整理 vCenter Single Sign-On 憑證。請參閱使用命令列取代 vCenter Server STS 憑證

使用 CLI 將機器 SSL 憑證取代為自訂憑證

收到自訂憑證後,您可以使用 CLI 取代每個機器憑證。

在開始取代憑證之前,您必須準備好下列資訊:
  • administrator@vsphere.local 的密碼
  • 有效的機器 SSL 自訂憑證 (.crt 檔案)
  • 有效的機器 SSL 自訂金鑰 (.key 檔案)
  • 有效的自訂根憑證 (.crt 檔案)

必要條件

您一定已收到第三方或企業 CA 核發給每台機器的憑證。

  • 金鑰大小:2048 位元 (下限) 至 16384 位元 (上限) (PEM 編碼)
  • CRT 格式
  • x509 第 3 版
  • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
  • 包含下列金鑰使用方法:數位簽章、金鑰編密

程序

  1. 停止所有服務,並啟動處理憑證建立、傳播和儲存的服務。
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  2. 登入每個節點,並將從 CA 收到的新機器憑證新增到 VECS 中。
    所有機器都需要使用本機憑證存放區中的新憑證,以透過 SSL 進行通訊。
    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
    vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path> --key <key-file-path>
  3. 更新 Lookup Service 登錄端點。
    /usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user 'administrator@vsphere.local' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>
  4. 重新啟動所有服務。
    service-control --start --all