在 vSphere 8.0 及更新版本中,您可以將 Auto Deploy 伺服器設定為使用第三方憑證授權機構 (CA) 或您自己的內部 CA 簽署的自訂憑證佈建 ESXi 主機。依預設,Auto Deploy 伺服器會使用 VMware Certificate Authority (VMCA) 簽署的憑證佈建 ESXi 主機。
在 vSphere 8.0 之前,使用 Auto Deploy 管理憑證的選項包括:
- 使用 vCenter Server 和內建 VMware Certificate Authority (預設)。
- 將 Auto Deploy 設為第三方 CA 的下層 CA。在這種情況下,Auto Deploy SSL 金鑰會對憑證進行簽署。
在 vSphere 8.0 及更新版本中,您可以將第三方 CA 或您自己的內部 CA 簽署的自訂憑證上傳到 Auto Deploy。Auto Deploy 將自訂憑證與 ESXi 主機的 MAC 位址或 BIOS UUID 相關聯。每次 Auto Deploy 主機啟動時,Auto Deploy 都會檢查自訂憑證。如果 Auto Deploy 找到自訂憑證,則將使用該憑證,而不是透過 VMCA 產生一個憑證。
此工作的高層級步驟包括:
- 為第三方 CA 或您自己的內部 CA 產生自訂憑證請求。
- 取得簽署的自訂憑證 (金鑰和憑證) 並將其儲存在本機。
- 如果使用的是第三方 CA,並且之前未曾使用,請確保將 CA 的根憑證上傳到 vCenter Server 上的 TRUSTED_ROOTS 存放區。
- 將自訂憑證上傳到 Auto Deploy 並將憑證與 ESXi 主機的 MAC 位址或 BIOS UUID 相關聯。
- 將 ESXi 主機開機。
將自訂憑證指派給 ESXi 主機時,Auto Deploy 會在下次從 Auto Deploy 開機時將該憑證推送到主機。
使用自訂憑證和 Auto Deploy 時,請注意以下考量事項。
- 您必須使用 PowerCLI Add-CustomCertificate、Remove-CustomCertificate 和 List-CustomCertificate cmdlet 來管理與 Auto Deploy 一起使用的自訂憑證。管理自訂憑證的功能在 vSphere Client 中不可用。
- 若要重新整理用於 Auto Deploy 的自訂憑證,必須再次執行 Add-CustomCertificate cmdlet。
- 請務必檢查自訂憑證是否存在潛在錯誤。Auto Deploy 僅驗證自訂憑證是否符合 X.509 憑證標準,以及憑證的到期臨界值是否設定為至少 240 天。Auto Deploy 不會執行任何其他憑證驗證或檢查。若要變更憑證臨界值,可以執行 Set-DeployOption -Key certificate-refresh-threshold cmdlet。
- 如果稍後使用 Remove-CustomCertificate cmdlet 從 ESXi 主機中移除自訂憑證,必須重新啟動該主機才能使變更生效。
如需有關自訂憑證和 Auto Deploy 的詳細資訊,請參閱 VMware ESXi 安裝和設定說明文件。
必要條件
確保您具有以下內容:
- 向憑證授權機構要求憑證。憑證必須符合這些需求。
- 金鑰大小:2048 位元 (下限) 至 8192 位元 (上限) (PEM 編碼)
- PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
- x509 第 3 版
- CRT 格式
- 設定為 true 的 CA 延伸
- 憑證簽署的金鑰使用方法
- 某天的開始時間早於目前時間
備註: vSphere 的 FIPS 憑證僅驗證 2048 和 3072 的 RSA 金鑰大小。請參閱 使用 FIPS 時的考量事項。 - ESXi 主機 MAC 位址或 BIOS UUID。評估哪種方法最適合您的環境。BIOS UUID 比 MAC 位址更穩定,更不受變更的影響。如果變更 ESXi 主機中的網路介面卡,MAC 位址將發生變更。但是,MAC 位址可能更易於使用,並且比 BIOS UUID 更易於取得。
- 至少為 PowerCLI 版本 12.6.0。如需有關 Auto Deploy PowerCLI cmdlet 的詳細資訊,請參閱 VMware ESXi 安裝和設定說明文件中的「Auto Deploy PowerCLI Cmdlet 概觀」主題。
確保您具有下列權限:
- 新增自訂憑證:
- 取得自訂憑證資訊: