如果您將 ESXi 主機升級到 ESXi 6.7 或更新版本,升級程序會將自我簽署 (指紋) 憑證取代為 VMCA 簽署的憑證。如果 ESXi 主機使用自訂憑證,則升級程序會保留這些憑證,即使這些憑證已過期或無效也如此。

建議的升級工作流程取決於目前的憑證。

使用指紋憑證佈建的主機

如果您的主機目前使用指紋憑證,則在升級過程中,它會自動獲指派 VMCA 憑證。

備註: 您無法使用 VMCA 憑證佈建舊版主機。您必須將這些主機升級至 ESXi 6.7 或更新版本。

使用自訂憑證佈建的主機

如果您的主機使用自訂憑證 (通常是第三方 CA 簽署的憑證) 佈建,則在升級期間這些憑證會保留在原位。將憑證模式變更為自訂,以確保在稍後的憑證重新整理期間憑證不會被意外取代。

備註: 如果您的環境處於 VMCA 模式下,並且您從 vSphere Client 重新整理憑證,則任何現有憑證都會取代為 VMCA 簽署的憑證。

然後,vCenter Server 會監控憑證,並在 vSphere Client 中顯示諸如憑證到期等資訊。

使用 Auto Deploy 佈建的主機

由 Auto Deploy 佈建的主機首次以 ESXi 6.7 或更新版本的軟體開機時,將一律獲指派新憑證。在您升級由 Auto Deploy 佈建的主機時,Auto Deploy 伺服器會針對該主機產生憑證簽署要求 (CSR) 並將其提交給 VMCA。VMCA 會為該主機儲存已簽署的憑證。當 Auto Deploy 伺服器佈建主機時,它會從 VMCA 擷取憑證,並將其納入佈建程序。

您可以搭配使用 Auto Deploy 與自訂憑證。

請參閱將 Auto Deploy 設為下層憑證授權機構透過 Auto Deploy 使用自訂憑證