依預設,VMware Certificate Authority (VMCA) 使用憑證佈建 ESXi。將 VMCA 憑證取代為自訂憑證時,請使用自訂模式。使用舊版指紋模式進行偵錯。如果您確實需要模式切換,請在開始前檢閱潛在的影響。
如需憑證模式的說明,請參閱憑證和憑證模式。
使用自訂 ESXi 憑證
備註: 如果從使用 VMCA 憑證切換至自訂憑證,請確保在產生憑證時留出時間完成組織核准和履行流程。此外,請進行相應的規劃,以便目前憑證在切換期間不會到期。
如果公司原則要求您使用 VMCA 以外的根 CA,您可以在仔細規劃後於環境中切換憑證模式。工作流程如下所示。
- 切換為自訂模式。請參閱變更 ESXi 憑證模式。
切換模式後,vSphere Client 可以啟用使用外部 CA 進行管理下拉式清單,從而使您能夠產生憑證簽署要求。
- 將自訂 CA 的根憑證新增到 VMware Endpoint 憑證存放區 (VECS)。
- 產生憑證簽署要求,並取得要使用的憑證。
您可能需要等待一段時間讓系統傳回 CSR。
- 將自訂 CA 憑證匯入 vCenter Server 主機。
請留出一些時間讓 vCenter Server 將自訂 CA 憑證散佈給 ESXi 主機。
從自訂 CA 模式切換為 VMCA 模式
如果您目前使用自訂 CA 模式,並判定環境中使用 VMCA 會運作更佳,可在仔細規劃後執行模式切換。工作流程如下所示。
- 從 vCenter Server 系統移除所有主機。
- 在 vCenter Server 系統上,從 VECS 中移除第三方 CA 的根憑證。
- 切換為 vmca 模式。請參閱變更 ESXi 憑證模式。
- 將主機新增到 vCenter Server 系統。
備註: 此模式切換的任何其他工作流程可能會導致無法預期的行為。
保留升級期間的指紋模式憑證
如果使用 VMCA 憑證時遇到問題,則可能必須從 VMCA 模式切換為指紋模式。在指紋模式下,vCenter Server 系統僅會檢查憑證是否存在以及是否正確格式化,而不會檢查憑證是否有效。如需指示,請參閱變更 ESXi 憑證模式。
從指紋模式切換為 VMCA 模式
如果您使用指紋模式,並且想開始使用 VMCA 簽署的憑證,則切換工作需要進行一些規劃。工作流程如下所示。
- 從 vCenter Server 系統移除所有 ESXi 主機。
- 切換為 vmca 模式。請參閱變更 ESXi 憑證模式。
- 將 ESXi 主機新增至 vCenter Server 系統。
備註: 此模式切換的任何其他工作流程可能會導致無法預期的行為。
從自訂 CA 模式切換為指紋模式
如果您在使用自訂 CA 模式時遇到問題,請考量暫時切換為指紋模式。如果您依照變更 ESXi 憑證模式中的指示執行,切換工作將會順暢完成。模式切換後,vCenter Server 系統僅會檢查憑證的格式,而不再檢查憑證本身的有效性。
從指紋模式切換為自訂 CA 模式
如果您在疑難排解期間將環境設定為指紋模式,並且想要開始使用自訂 CA 模式,必須先產生所需的憑證。工作流程如下所示。
- 從 vCenter Server 系統移除所有 ESXi 主機。
- 在 vCenter Server 系統上,將自訂 CA 根憑證新增到 VECS 上的 TRUSTED_ROOTS 存放區。請參閱更新 vCenter Server TRUSTED_ROOTS 存放區 (自訂憑證)。
- 針對每部 ESXi 主機:
- 部署自訂 CA 憑證和金鑰。
- 重新啟動主機上的服務。
- 切換為自訂模式。請參閱變更 ESXi 憑證模式。
- 將 ESXi 主機新增至 vCenter Server 系統。