您可以使用 vSphere Client 將預設憑證取代為自訂憑證。

您可以使用 vSphere Client 為每台機器產生 CSR,並在收到來自內部或第三方憑證授權機構 (CA) 的憑證時取代這些憑證。將 CSR 提交給您的內部或第三方 CA 後,CA 會傳回已簽署憑證和根憑證。您可以從 vSphere Client 上傳根憑證和已簽署憑證。

使用 vSphere Client 產生機器 SSL 憑證的憑證簽署要求 (自訂憑證)

機器 SSL 憑證是由每個 vCenter Server 節點上的反向 Proxy 服務所使用。每台機器必須具有機器 SSL 憑證,以便與其他服務進行安全通訊。您可以使用 vSphere Client,產生機器 SSL 憑證的憑證簽署要求 (CSR) 並且在準備就緒後取代憑證。

必要條件

憑證必須符合以下需求:

  • 金鑰大小:2048 位元 (下限) 至 16384 位元 (上限) (PEM 編碼)
  • CRT 格式
  • x509 第 3 版
  • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
  • 包含下列金鑰使用方法:數位簽章、金鑰編密
備註: vSphere 的 FIPS 憑證僅驗證 2048 位元和 3072 位元的 RSA 金鑰大小。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 指定 administrator@vsphere.local 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至憑證管理 UI。
    1. 首頁功能表中,選取管理
    2. 憑證下,按一下憑證管理
  4. 輸入您 vCenter Server 的認證。
  5. 產生 CSR。
    1. 機器 SSL 憑證動態磚下,按一下動作 > 產生憑證簽署要求 (CSR)
    2. 輸入您的憑證資訊,然後按下一步
      2048 (位元) 是金鑰大小的預設值。可以根據需要變更此值。
      備註: 當您使用 vCenter Server 產生金鑰大小為 16384 位元的 CSR 時,由於該作業佔用大量 CPU,因此產生需要幾分鐘的時間才能完成。
    3. 複製或下載 CSR。
    4. 按一下完成
    5. 向憑證授權機構提供 CSR。

下一步

當憑證授權機構傳回憑證時,取代憑證存放區中的現有憑證。請參閱使用 vSphere Client 新增自訂憑證

使用 vSphere Client 將受信任的根憑證新增到憑證存放區

如果要在環境中使用第三方憑證,必須將受信任的根憑證新增至憑證存放區。可以使用 vSphere Client 完成此作業。

必要條件

從第三方或內部憑證授權機構 (CA) 取得自訂根憑證。

vSphere 僅接受有效的 CA 憑證進行匯入。為確保 CA 憑證有效,該憑證必須分別在基本限制和鑰使用方法 X.509 v3 憑證延伸中設定 CA 位元和 keyCertSign 位元。這意味著該憑證是 CA 憑證,其用途是憑證簽署。如需詳細資訊,請參閱 https://www.rfc-editor.org/rfc/rfc5280

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 指定 administrator@vsphere.local 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至憑證管理 UI。
    1. 首頁功能表中,選取管理
    2. 憑證下,按一下憑證管理
  4. 如果系統提示您,請輸入 vCenter Server的認證。
  5. 受信任的根憑證下,按一下新增
  6. 按一下瀏覽,然後選取憑證鏈結的位置。
    您可以使用以下檔案類型:CER、PEM 或 CRT。
  7. 按一下新增
    憑證將新增至存放區。
    備註: 在 vSphere 8.0 update 2 中,移除了 開始將根憑證推送至 vCenter 主機核取方塊。新增憑證後, vCenter Server 會將根憑證推送到清單中所有已連線的主機。如果連線的主機的根憑證與 vCenter Server 不同,則 vCenter Server 會推送根憑證以進行更正。在這種情況下, vCenter Server 根憑證會覆寫主機上的根憑證,因此管理員可以確保將整個詳細目錄中所需的所有自訂根憑證都新增到 vCenter Server

使用 vSphere Client 新增自訂憑證

可以使用 vSphere Client 將自訂機器 SSL 憑證新增到憑證存放區。

通常,取代每個元件的機器 SSL 憑證就已足夠。

必要條件

針對您要取代的每個憑證產生憑證簽署要求 (CSR)。請參閱使用 vSphere Client 產生機器 SSL 憑證的憑證簽署要求 (自訂憑證)。將憑證和私密金鑰放置到 vCenter Server可存取的位置。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 指定 administrator@vsphere.local 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至憑證管理 UI。
    1. 首頁功能表中,選取管理
    2. 憑證下,按一下憑證管理
  4. 如果系統提示您,請輸入 vCenter Server的認證。
  5. 機器 SSL 憑證動態磚下,按一下動作 > 匯入並取代憑證
  6. 按一下相應的憑證取代選項,然後按下一步
    選項 說明
    取代為 VMCA 建立 VMCA 產生的 CSR 來取代目前憑證。
    取代為從 vCenter Server產生的憑證。 使用通過 vCenter Server 產生的 CSR 所簽署的憑證來取代目前憑證。
    取代為外部 CA 憑證 (需要私密金鑰) 使用由外部 CA 簽署的憑證來取代目前憑證。
  7. 輸入 CSR 資訊,或上傳適當的憑證。