VMware Certificate Authority (VMCA) 預設會使用將 VMCA 做為根憑證授權機構的已簽署憑證佈建每台新的 ESXi 主機。當主機明確新增至 vCenter Server,或在安裝或升級至 ESXi 的過程中新增時,會執行佈建。
可以透過 vSphere Client 及使用 vSphere Web Services SDK 中的 vim.CertificateManager API 來檢視和管理 ESXi 憑證。您無法透過用於管理 vCenter Server 憑證的憑證管理 CLI 來檢視或管理 ESXi 憑證。
從 vSphere 8.0 Update 3 開始,無需將主機置於維護模式,也無需重新啟動主機或個別服務,便可取代 ESXi 憑證。
憑證和憑證模式
ESXi 和 vCenter Server 通訊時,會將 TLS 用於幾乎所有管理流量。
vCenter Server 支援對 ESXi 主機使用以下憑證和憑證模式。
| 憑證模式 | 說明 |
|---|---|
| VMware Certificate Authority (預設) | 依預設,VMware Certificate Authority 用作 ESXi 主機憑證的憑證授權機構 (CA)。依預設,VMCA 為根 CA,但可將其設定為其他 CA 的媒介 CA。在 vmca 模式下,您可以從 vSphere Client 更新和重新整理憑證。VMCA 為下層憑證時也會使用。 |
| 自訂憑證授權機構 | 若要僅使用由第三方或企業 CA 簽署的自訂憑證,請使用此模式。在自訂模式下,您負責管理憑證。從 vSphere 8.0 Update 3 開始,您可以從 vSphere Client 管理自訂憑證。
備註: 除非將憑證模式變更為「自訂憑證授權機構」(
自訂),否則在
vSphere Client 中選取
更新時,VMCA 可能會取代自訂憑證。
|
| 指紋模式 | vSphere 5.5 使用的是指紋模式,此模式仍以 vSphere 6.x 之後援選項的形式提供。在此模式中,vCenter Server 會檢查憑證是否已正確格式化,但不會檢查憑證的有效性。即使憑證已到期亦可接受。 除非您使用其他兩種模式時遇到無法解決的問題,否則請勿使用此模式。在指紋模式下,vCenter Server 6.x 及更新版本的某些服務可能無法正常運作。 |
若要變更憑證模式以使用其他類型的憑證,請參閱ESXi 憑證模式切換工作流程和變更 ESXi 憑證模式。
ESXi 憑證到期
您可以在 vSphere Client 中檢視由 VMCA 或第三方 CA 簽署之憑證的憑證到期相關資訊。您可以檢視 vCenter Server 管理之所有主機或個別主機的資訊。如果憑證處於即將到期狀態 (少於 8 個月),則會引發黃色警示。如果憑證處於即將到期狀態 (少於 2 個月),則會引發紅色警示。
ESXi 佈建和憑證
當您從安裝媒體將 ESXi 主機開機時,該主機一開始會有自動產生的憑證。將主機新增至 vCenter Server 系統後,vCenter Server 會使用由 VMCA 簽署做為根 CA 的憑證佈建主機。
您還可以將第三方或企業 CA 簽署的自訂憑證用於 ESXi 主機。
Auto Deploy 中的 ESXi 佈建和憑證
此程序類似於使用 Auto Deploy 佈建的主機。但是,由於這些主機並未儲存任何狀態,因此,已簽署憑證由 Auto Deploy 伺服器儲存在本機憑證存放區中。後續將 ESXi 主機開機時,會重複使用該憑證。Auto Deploy 伺服器是任何內嵌式部署或 vCenter Server 系統的一部分。
如果 VMCA 在 Auto Deploy 主機首次開機時不可用,則主機會先嘗試連線。如果主機無法連線,則會循環關閉和重新開機,直到 VMCA 變為可用且能夠透過已簽署憑證佈建主機為止。
您可以將 Auto Deploy 設為第三方憑證授權機構的下層憑證授權機構。在此情況下,產生的憑證會使用 Auto Deploy SSL 金鑰進行簽署。請參閱將 Auto Deploy 設為下層憑證授權機構。
在 ESXi 8.0 及更新版本中,您可以將自訂憑證 (憑證授權機構簽署的憑證) 與 Auto Deploy 搭配使用。主機啟動時,Auto Deploy 會將自訂憑證與 ESXi 主機的 MAC 位址或 BIOS UUID 相關聯。請參閱透過 Auto Deploy 使用自訂憑證。
ESXi 憑證管理所需的權限
使用者需要擁有 權限才能管理 ESXi 主機憑證。
ESXi 主機名稱和 IP 位址變更
ESXi 主機名稱或 IP 位址變更可能會影響 vCenter Server 是否將主機憑證視為有效。將 ESXi 主機新增至 vCenter Server 的方式會影響是否需要手動介入。手動介入是指重新連線主機,或將主機從 vCenter Server 移除然後再次新增。
| 透過下列方式將 ESXi 主機新增至 vCenter Server... | ESXi 主機名稱變更 | ESXi IP 位址變更 |
|---|---|---|
| 主機名稱 | vCenter Server 連線問題。需要手動介入。 | 不需要介入。 |
| IP 位址 | 不需要介入。 | vCenter Server 連線問題。需要手動介入。 |
