依預設,VMware Certificate Authority (VMCA) 使用憑證佈建 ESXi。將 VMCA 憑證取代為自訂憑證時,請使用自訂模式。使用舊版指紋模式進行偵錯。如果您確實需要模式切換,請在開始前檢閱潛在的影響。

如需憑證模式的說明,請參閱憑證和憑證模式

使用自訂 ESXi 憑證

備註: 如果從使用 VMCA 憑證切換至自訂憑證,請確保在產生憑證時留出時間完成組織核准和履行流程。此外,請進行相應的規劃,以便目前憑證在切換期間不會到期。

如果公司原則要求您使用 VMCA 以外的根 CA,您可以在仔細規劃後於環境中切換憑證模式。工作流程如下所示。

  1. 切換為自訂模式。請參閱變更 ESXi 憑證模式

    切換模式後,vSphere Client 可以啟用使用外部 CA 進行管理下拉式清單,從而使您能夠產生憑證簽署要求。

  2. 將自訂 CA 的根憑證新增到 VMware Endpoint 憑證存放區 (VECS)。
  3. 產生憑證簽署要求,並取得要使用的憑證。

    您可能需要等待一段時間讓系統傳回 CSR。

  4. 將自訂 CA 憑證匯入 vCenter Server 主機。

    請留出一些時間讓 vCenter Server 將自訂 CA 憑證散佈給 ESXi 主機。

從自訂 CA 模式切換為 VMCA 模式

如果您目前使用自訂 CA 模式,並判定環境中使用 VMCA 會運作更佳,可在仔細規劃後執行模式切換。工作流程如下所示。

  1. vCenter Server 系統移除所有主機。
  2. vCenter Server 系統上,從 VECS 中移除第三方 CA 的根憑證。
  3. 切換為 vmca 模式。請參閱變更 ESXi 憑證模式
  4. 將主機新增到 vCenter Server 系統。
備註: 此模式切換的任何其他工作流程可能會導致無法預期的行為。

保留升級期間的指紋模式憑證

如果使用 VMCA 憑證時遇到問題,則可能必須從 VMCA 模式切換為指紋模式。在指紋模式下,vCenter Server 系統僅會檢查憑證是否存在以及是否正確格式化,而不會檢查憑證是否有效。如需指示,請參閱變更 ESXi 憑證模式

從指紋模式切換為 VMCA 模式

如果您使用指紋模式,並且想開始使用 VMCA 簽署的憑證,則切換工作需要進行一些規劃。工作流程如下所示。

  1. vCenter Server 系統移除所有 ESXi 主機。
  2. 切換為 vmca 模式。請參閱變更 ESXi 憑證模式
  3. ESXi 主機新增至 vCenter Server 系統。
備註: 此模式切換的任何其他工作流程可能會導致無法預期的行為。

從自訂 CA 模式切換為指紋模式

如果您在使用自訂 CA 模式時遇到問題,請考量暫時切換為指紋模式。如果您依照變更 ESXi 憑證模式中的指示執行,切換工作將會順暢完成。模式切換後,vCenter Server 系統僅會檢查憑證的格式,而不再檢查憑證本身的有效性。

從指紋模式切換為自訂 CA 模式

如果您在疑難排解期間將環境設定為指紋模式,並且想要開始使用自訂 CA 模式,必須先產生所需的憑證。工作流程如下所示。

  1. vCenter Server 系統移除所有 ESXi 主機。
  2. vCenter Server 系統上,將自訂 CA 根憑證新增到 VECS 上的 TRUSTED_ROOTS 存放區。請參閱更新 vCenter Server TRUSTED_ROOTS 存放區 (自訂憑證)
  3. 針對每部 ESXi 主機:
    1. 部署自訂 CA 憑證和金鑰。
    2. 重新啟動主機上的服務。
  4. 切換為自訂模式。請參閱變更 ESXi 憑證模式
  5. ESXi 主機新增至 vCenter Server 系統。