依預設,Auto Deploy 伺服器會使用 VMware Certificate Authority (VMCA) 簽署的憑證佈建每台主機。可以將 Auto Deploy 伺服器設定為使用不是 VMCA 簽署的自訂憑證佈建所有主機。在此案例中,Auto Deploy 伺服器會變為第三方憑證授權機構 (CA) 的下層憑證授權機構。
必要條件
- 向 CA 要求憑證。憑證必須符合這些需求。
- 金鑰大小:2048 位元 (下限) 至 8192 位元 (上限) (PEM 編碼)
- PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
- x509 第 3 版
- 若為根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。
- SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
- CRT 格式
- 包含下列金鑰使用方法:數位簽章、金鑰編密
- 某天的開始時間早於目前時間。
- CN (和 SubjectAltName) 設為 ESXi 主機在 vCenter Server 詳細目錄中所擁有的主機名稱 (或 IP 位址)。
備註: vSphere 的 FIPS 憑證僅驗證 2048 和 3072 的 RSA 金鑰大小。請參閱 使用 FIPS 時的考量事項。 - 將憑證和金鑰檔案命名為 rbd-ca.crt 和 rbd-ca.key。
程序
結果
下一次您佈建已設定為使用 Auto Deploy 的主機時,Auto Deploy 伺服器會產生憑證。Auto Deploy 伺服器使用已新增至 TRUSTED_ROOTS 存放區的根憑證。
備註: 如果您在取代憑證後使用 Auto Deploy 時遇到問題,請參閱 VMware 知識庫文章,網址為:
https://kb.vmware.com/s/article/2000988。