您可以使用 vSphere Client 將預設憑證取代為自訂憑證。
您可以使用 vSphere Client 為每台機器產生 CSR,並在收到來自內部或第三方憑證授權機構 (CA) 的憑證時取代這些憑證。將 CSR 提交給您的內部或第三方 CA 後,CA 會傳回已簽署憑證和根憑證。您可以從 vSphere Client 上傳根憑證和已簽署憑證。
使用 vSphere Client 產生機器 SSL 憑證的憑證簽署要求 (自訂憑證)
機器 SSL 憑證是由每個 vCenter Server 節點上的反向 Proxy 服務所使用。每台機器必須具有機器 SSL 憑證,以便與其他服務進行安全通訊。您可以使用 vSphere Client,產生機器 SSL 憑證的憑證簽署要求 (CSR) 並且在準備就緒後取代憑證。
必要條件
憑證必須符合以下需求:
- 金鑰大小:2048 位元 (下限) 至 8192 位元 (上限) (PEM 編碼)。產生憑證簽署要求時,vSphere Client 和 API 仍接受最大為 16384 位元的金鑰大小。
- CRT 格式
- x509 第 3 版
- SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
- 包含下列金鑰使用方法:數位簽章、金鑰編密
程序
下一步
當憑證授權機構傳回憑證時,取代憑證存放區中的現有憑證。請參閱使用 vSphere Client 新增自訂憑證。
使用 vSphere Client 將受信任的根憑證新增到憑證存放區
如果要在環境中使用第三方憑證,必須將受信任的根憑證新增至憑證存放區。可以使用 vSphere Client 完成此作業。
必要條件
從第三方或內部憑證授權機構 (CA) 取得自訂根憑證。
vSphere 僅接受有效的 CA 憑證進行匯入。為確保 CA 憑證有效,該憑證必須分別在基本限制和鑰使用方法 X.509 v3 憑證延伸中設定 CA 位元和 keyCertSign 位元。這意味著該憑證是 CA 憑證,其用途是憑證簽署。如需詳細資訊,請參閱 https://www.rfc-editor.org/rfc/rfc5280。
確保為鏈結中的所有憑證設定了 keyCertSign 位元。
程序
使用 vSphere Client 新增自訂憑證
可以使用 vSphere Client 將自訂機器 SSL 憑證新增到憑證存放區。
通常,取代每個元件的機器 SSL 憑證就已足夠。
必要條件
針對您要取代的每個憑證產生憑證簽署要求 (CSR)。請參閱使用 vSphere Client 產生機器 SSL 憑證的憑證簽署要求 (自訂憑證)。將憑證和私密金鑰放置到 vCenter Server 可存取的位置。
程序
產生 VMCA 分葉憑證
可以產生由 VMware Certificate Authority (VMCA) 簽署的分葉憑證,以在 VMware 基礎結構中使用。
除了處理所有憑證管理之外,VMware Certificate Authority (VMCA) 還可以產生分葉憑證。分葉憑證由 VMCA 簽署,用於識別其他 VMware 資源。VMCA 產生的分葉憑證不儲存在 VECS 中。此外,vCenter Server 不會追蹤這些分葉憑證的到期時間。
必要條件
在要安裝分葉憑證的 VMware 基礎結構中的主機上產生憑證簽署要求 (CSR)。
程序
結果
系統會建立產生的分葉憑證和根憑證,並將其下載到指定位置。
下一步
將分葉憑證和根憑證匯入 VMware 基礎結構中的目標主機。