您可以使用 vSphere Client 將預設憑證取代為自訂憑證。

您可以使用 vSphere Client 為每台機器產生 CSR,並在收到來自內部或第三方憑證授權機構 (CA) 的憑證時取代這些憑證。將 CSR 提交給您的內部或第三方 CA 後,CA 會傳回已簽署憑證和根憑證。您可以從 vSphere Client 上傳根憑證和已簽署憑證。

使用 vSphere Client 產生機器 SSL 憑證的憑證簽署要求 (自訂憑證)

機器 SSL 憑證是由每個 vCenter Server 節點上的反向 Proxy 服務所使用。每台機器必須具有機器 SSL 憑證,以便與其他服務進行安全通訊。您可以使用 vSphere Client,產生機器 SSL 憑證的憑證簽署要求 (CSR) 並且在準備就緒後取代憑證。

必要條件

憑證必須符合以下需求:

  • 金鑰大小:2048 位元 (下限) 至 8192 位元 (上限) (PEM 編碼)。產生憑證簽署要求時,vSphere Client 和 API 仍接受最大為 16384 位元的金鑰大小。
  • CRT 格式
  • x509 第 3 版
  • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
  • 包含下列金鑰使用方法:數位簽章、金鑰編密
備註: vSphere 的 FIPS 憑證僅驗證 2048 位元和 3072 位元的 RSA 金鑰大小。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至憑證管理 UI。
    1. 首頁功能表中,選取管理
    2. 憑證下,按一下憑證管理
  4. 輸入您 vCenter Server 的認證。
  5. 產生 CSR。
    1. 機器 SSL 索引標籤下,選取所需的憑證,然後按一下產生憑證簽署要求 (CSR)
    2. 輸入您的憑證資訊,然後按下一步
      2048 (位元) 是金鑰大小的預設值。可以根據需要變更此值。
      備註: 當您使用 vCenter Server 產生具有較大金鑰大小的 CSR 時,由於該作業佔用大量 CPU,因此產生需要幾分鐘的時間才能完成。
    3. 複製或下載 CSR。
    4. 按一下完成
    5. 向憑證授權機構提供 CSR。

下一步

當憑證授權機構傳回憑證時,取代憑證存放區中的現有憑證。請參閱使用 vSphere Client 新增自訂憑證

使用 vSphere Client 將受信任的根憑證新增到憑證存放區

如果要在環境中使用第三方憑證,必須將受信任的根憑證新增至憑證存放區。可以使用 vSphere Client 完成此作業。

必要條件

從第三方或內部憑證授權機構 (CA) 取得自訂根憑證。

vSphere 僅接受有效的 CA 憑證進行匯入。為確保 CA 憑證有效,該憑證必須分別在基本限制和鑰使用方法 X.509 v3 憑證延伸中設定 CA 位元和 keyCertSign 位元。這意味著該憑證是 CA 憑證,其用途是憑證簽署。如需詳細資訊,請參閱 https://www.rfc-editor.org/rfc/rfc5280

確保為鏈結中的所有憑證設定了 keyCertSign 位元。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至憑證管理 UI。
    1. 首頁功能表中,選取管理
    2. 憑證下,按一下憑證管理
  4. 如果系統提示您,請輸入 vCenter Server 的認證。
  5. 受信任的根憑證索引標籤下,按一下新增受信任的根憑證
  6. 按一下瀏覽,然後選取憑證鏈結的位置。
    您可以使用以下檔案類型:CER、PEM 或 CRT。
  7. 按一下新增
    憑證將新增至存放區。
    備註: 在 vSphere 8.0 Update 2 及更新版本中,移除了 開始將根憑證推送至 vCenter 主機核取方塊。新增憑證後, vCenter Server 會將根憑證推送到清單中所有已連線的主機。如果連線的主機的根憑證與 vCenter Server 不同,則 vCenter Server 會推送根憑證以進行更正。在這種情況下, vCenter Server 根憑證會覆寫主機上的根憑證,因此管理員可以確保將整個詳細目錄中所需的所有自訂根憑證都新增到 vCenter Server

使用 vSphere Client 新增自訂憑證

可以使用 vSphere Client 將自訂機器 SSL 憑證新增到憑證存放區。

通常,取代每個元件的機器 SSL 憑證就已足夠。

必要條件

針對您要取代的每個憑證產生憑證簽署要求 (CSR)。請參閱使用 vSphere Client 產生機器 SSL 憑證的憑證簽署要求 (自訂憑證)。將憑證和私密金鑰放置到 vCenter Server 可存取的位置。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至憑證管理 UI。
    1. 首頁功能表中,選取管理
    2. 憑證下,按一下憑證管理
  4. 如果系統提示您,請輸入 vCenter Server 的認證。
  5. 機器 SSL 索引標籤下,選取憑證,然後按一下匯入並取代憑證
  6. 按一下相應的憑證取代選項,然後按下一步
    選項 說明
    取代為 VMCA 憑證 建立 VMCA 產生的 CSR 來取代目前憑證。
    取代為從 vCenter Server 產生 CSR 的外部 CA 憑證 (內嵌式私密金鑰) 使用通過 vCenter Server 產生的 CSR 所簽署的憑證來取代目前憑證。
    取代為外部 CA 憑證 (需要私密金鑰) 使用由外部 CA 簽署的憑證來取代目前憑證。
  7. 輸入 CSR 資訊,或上傳適當的憑證。
  8. 按一下該核取方塊以確認您已備份 vCenter Server 及其資料庫。
  9. 檢閱資訊,然後按一下完成
    系統將取代憑證並顯示成功訊息。
  10. 當顯示憑證已變更訊息時,按一下重新整理以重新整理瀏覽器。

產生 VMCA 分葉憑證

可以產生由 VMware Certificate Authority (VMCA) 簽署的分葉憑證,以在 VMware 基礎結構中使用。

除了處理所有憑證管理之外,VMware Certificate Authority (VMCA) 還可以產生分葉憑證。分葉憑證由 VMCA 簽署,用於識別其他 VMware 資源。VMCA 產生的分葉憑證不儲存在 VECS 中。此外,vCenter Server 不會追蹤這些分葉憑證的到期時間。

必要條件

在要安裝分葉憑證的 VMware 基礎結構中的主機上產生憑證簽署要求 (CSR)。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至憑證管理 UI。
    1. 首頁功能表中,選取管理
    2. 憑證下,按一下憑證管理
  4. 如果系統提示您,請輸入 vCenter Server 的認證。
  5. 受信任的根憑證索引標籤下,選取 VMCA 根憑證,然後按一下核發新的分葉憑證
  6. 瀏覽先前產生的 CSR,指定持續時間,然後按下一步
  7. 按一下下載憑證以儲存分葉憑證和根憑證。

結果

系統會建立產生的分葉憑證和根憑證,並將其下載到指定位置。

下一步

將分葉憑證和根憑證匯入 VMware 基礎結構中的目標主機。