您公司的安全性原則可能要求在所有主機上將預設的 ESXi SSL 憑證取代為第三方憑證授權機構 (CA) 簽署的憑證。
依預設,vSphere 元件所使用的 VMCA 簽署的憑證和金鑰,均是於安裝過程中所建立。如果意外刪除了 VMCA 簽署的憑證,請從其 vCenter Server 系統中移除主機,然後再重新新增該主機。當您新增主機時,vCenter Server 會從 VMCA 申請新憑證並使用該憑證佈建主機。
可以將 VMCA 簽署的憑證取代為由受信任的憑證授權機構 (商業 CA 或組織 CA) 簽署的憑證 (如果公司原則需要)。
可以使用 vSphere Client 或 CLI 將預設憑證取代為自訂憑證。
備註: 在 vSphere Web Services SDK 中,您也可以使用
vim.CertificateManager 和
vim.host.CertificateManager 受管理物件。請參閱 vSphere Web Services SDK 說明文件。
取代憑證之前,您必須在管理主機的 vCenter Server 系統上,更新 VECS 中的 TRUSTED_ROOTS 存放區,以確保 vCenter Server 和 ESXi 主機具有信任關係。
備註: 如果您要取代屬於 vSAN 叢集一部分的
ESXi 主機上的 SSL 憑證,請遵循 VMware 知識庫文章中的步驟進行操作,網址為:
https://kb.vmware.com/s/article/56441。
自訂憑證的 ESXi 憑證簽署要求需求
使用具有下列特性的 CSR:
- 金鑰大小:2048 位元 (下限) 至 8192 位元 (上限) (PEM 編碼)
- PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
- x509 第 3 版
- 若為根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。
- SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
- CRT 格式
- 包含下列金鑰使用方法:數位簽章、金鑰編密
- 某天的開始時間早於目前時間。
- CN (和 SubjectAltName) 設為 ESXi 主機在 vCenter Server 詳細目錄中所擁有的主機名稱 (或 IP 位址)。
備註: vSphere 的 FIPS 憑證僅驗證 2048 和 3072 的 RSA 金鑰大小。請參閱
使用 FIPS 時的考量事項。
vSphere 不支援以下憑證。
- 具有萬用字元的憑證。
- 不支援演算法 md2WithRSAEncryption、md5WithRSAEncryption、RSASSA-PSS、dsaWithSHA1、ecdsa_with_SHA1 和 sha1WithRSAEncryption。
若要使用 vSphere Client 產生 CSR,請參閱使用 vSphere Client 為自訂憑證產生憑證簽署要求。
如需使用 CLI 產生 CSR 的相關資訊,請參閱 VMware 知識庫文章,網址為:https://kb.vmware.com/s/article/2113926。
