如果使用 VMware Certificate Authority (VMCA) 為主機指派憑證,您可以從 vSphere Client 更新這些憑證。如果使用 VMCA 憑證或自訂憑證,則可以重新整理與 vCenter Server 關聯的 TRUSTED_ROOTS 存放區中的所有憑證。

如果憑證即將到期,或者基於其他原因要使用新憑證佈建主機,則可以使用 vSphere Client 更新您的 VMCA 憑證。如果在到期之前未更新 VMCA 憑證,則中斷主機連線後又將其重新連線時,會使 vCenter Server 更新憑證。將主機重新新增到 vCenter Server 會重新建立信任,並使 vCenter Server 無條件地簽發更新的憑證。

依預設,每次將主機新增至詳細目錄或重新連線時,vCenter Server 會更新狀態為 [已到期]、[立即到期] 或 [即將到期] 的主機 VMCA 憑證。

ESXi 憑證更新的到期日期不能晚於受信任根憑證的到期日期。例如,即使 ESXi vpxd.certmgmt.certs.daysValid 進階選項設定為五年,並且受信任的根憑證設定為在兩年後到期,ESXi 憑證的到期日期也限制為兩年。

您可以使用 vSphere Client 將目前位於 vCenter Server VECS 存放區的 TRUSTED_ROOTS 存放區中的所有憑證推送至 ESXi 主機。如果需要重新整理 ESXi 主機上的受信任根憑證,請使用此功能。此功能同時適用於 VMCA 憑證和自訂憑證。

必要條件

確認以下內容:
  • 如果使用 VMCA 憑證,憑證模式將設定為 vmca
  • 如果使用自訂憑證,憑證模式將設定為自訂
  • ESXi 主機已連線到 vCenter Server 系統。
  • vCenter Server 系統和 ESXi 主機之間存在適當的時間同步。
  • 可在 vCenter Server 系統和 ESXi 主機之間進行 DNS 解析。
  • vCenter Server 系統的 MACHINE_SSL_CERT 和 Trusted_Root 憑證是有效的,且尚未到期。請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/2111411
  • ESXi 主機未處於維護模式。
備註: 如果您使用自訂憑證,並且需要更新這些憑證,請重新匯入憑證。

程序

  1. vSphere Client 詳細目錄中瀏覽到主機。
  2. 按一下設定
  3. 系統下,按一下憑證
    您可以檢視有關所選主機的憑證的詳細資料。
  4. 根據所使用的憑證類型選取相應的選項。
    選項 說明
    使用 VMCA 進行管理 > 更新 從 VMCA 為主機擷取全新的已簽署憑證。
    使用 VMCA 進行管理 > 重新整理 CA 憑證

    使用外部 CA 進行管理 > 重新整理 CA 憑證

    將 TRUSTED_ROOTS 存放區 (位於 vCenter Server VECS 存放區中) 中的所有憑證推送到主機。