依預設,Auto Deploy 伺服器會使用 VMware Certificate Authority (VMCA) 簽署的憑證佈建每台主機。可以將 Auto Deploy 伺服器設定為使用不是 VMCA 簽署的自訂憑證佈建所有主機。在此案例中,Auto Deploy 伺服器會變為第三方憑證授權機構 (CA) 的下層憑證授權機構。

必要條件

  • 向 CA 要求憑證。憑證必須符合這些需求。
    • 金鑰大小:2048 位元 (下限) 至 8192 位元 (上限) (PEM 編碼)
    • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
    • x509 第 3 版
    • 若為根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。
    • SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
    • CRT 格式
    • 包含下列金鑰使用方法:數位簽章、金鑰編密
    • 某天的開始時間早於目前時間。
    • CN (和 SubjectAltName) 設為 ESXi 主機在 vCenter Server 詳細目錄中所擁有的主機名稱 (或 IP 位址)。
    備註: vSphere 的 FIPS 憑證僅驗證 2048 和 3072 的 RSA 金鑰大小。請參閱 使用 FIPS 時的考量事項
  • 將憑證和金鑰檔案命名為 rbd-ca.crtrbd-ca.key

程序

  1. 備份預設 ESXi 憑證。
    憑證位於 /etc/vmware-rbd/ssl/ 目錄中。
  2. 停止 vSphere Authentication Proxy 服務。
    工具 步驟
    vCenter Server 管理介面
    1. 在網頁瀏覽器中,移至 vCenter Server 管理介面 (https://vcenter-IP-address-or-FQDN:5480)。
    2. 以 root 身分登入。

      預設根密碼為部署 vCenter Server 時設定的密碼。

    3. 按一下服務,然後按一下 VMware vSphere Authentication Proxy.
    4. 按一下停止
    CLI 
    service-control --stop vmcam
  3. 在 Auto Deploy 服務執行的系統上,將 /etc/vmware-rbd/ssl/ 中的 rbd-ca.crtrbd-ca.key 取代為您的自訂憑證和金鑰檔案。
  4. 在執行 Auto Deploy 服務的系統上,執行下列命令更新 VMware Endpoint 憑證存放區 (VECS) 內的 TRUSTED_ROOTS 存放區以使用新憑證。 
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
/usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
  5. 建立可包含 TRUSTED_ROOTS 存放區中內容的 castore.pem 檔案,然後將該檔案放置在 /etc/vmware-rbd/ssl/ 目錄中。
    在自訂模式中,您負責維護此檔案。
  6. vCenter Server 系統的 ESXi 憑證模式變更為自訂
    請參閱 變更 ESXi 憑證模式
  7. 重新啟動 vCenter Server 服務,然後啟動 Auto Deploy 服務。

結果

下一次您佈建已設定為使用 Auto Deploy 的主機時,Auto Deploy 伺服器會產生憑證。Auto Deploy 伺服器使用已新增至 TRUSTED_ROOTS 存放區的根憑證。

備註: 如果您在取代憑證後使用 Auto Deploy 時遇到問題,請參閱 VMware 知識庫文章,網址為: https://kb.vmware.com/s/article/2000988