更新或重新整理 ESXi 憑證

如果使用 VMware Certificate Authority (VMCA) 為主機指派憑證，您可以從 vSphere Client 更新這些憑證。如果使用 VMCA 憑證或自訂憑證，則可以重新整理與 vCenter Server 關聯的 TRUSTED_ROOTS 存放區中的所有憑證。

如果憑證即將到期，或者基於其他原因要使用新憑證佈建主機，則可以使用 vSphere Client 更新您的 VMCA 憑證。如果在到期之前未更新 VMCA 憑證，則中斷主機連線後又將其重新連線時，會使 vCenter Server 更新憑證。將主機重新新增到 vCenter Server 會重新建立信任，並使 vCenter Server 無條件地簽發更新的憑證。

依預設，每次將主機新增至詳細目錄或重新連線時，vCenter Server 會更新狀態為 [已到期]、[立即到期] 或 [即將到期] 的主機 VMCA 憑證。

為 ESXi 憑證更新的到期日期不能晚於受信任根憑證的到期日期。例如，即使 ESXi vpxd.certmgmt.certs.daysValid 進階選項設定為五年，並且受信任的根憑證設定為在兩年後到期，ESXi 憑證的到期日期也限制為兩年。

您可以使用 vSphere Client 將目前位於 vCenter Server VECS 存放區的 TRUSTED_ROOTS 存放區中的所有憑證推送至 ESXi 主機。如果需要重新整理 ESXi 主機上的受信任根憑證，請使用此功能。此功能同時適用於 VMCA 憑證和自訂憑證。

必要條件

確認以下內容：

如果使用 VMCA 憑證，憑證模式將設定為 vmca。
如果使用自訂憑證，憑證模式將設定為自訂。
ESXi 主機已連線到 vCenter Server 系統。
vCenter Server 系統和 ESXi 主機之間存在適當的時間同步。
可在 vCenter Server 系統和 ESXi 主機之間進行 DNS 解析。
vCenter Server 系統的 MACHINE_SSL_CERT 和 Trusted_Root 憑證是有效的，且尚未到期。請參閱 VMware 知識庫文章，網址為 https://kb.vmware.com/s/article/2111411。
ESXi 主機未處於維護模式。

備註：如果您使用自訂憑證，並且需要更新這些憑證，請重新匯入憑證。

程序

在 vSphere Client 詳細目錄中瀏覽到主機。
按一下設定。
在系統下，按一下憑證。
您可以檢視有關所選主機的憑證的詳細資料。

根據所使用的憑證類型選取相應的選項。

選項	說明
使用 VMCA 進行管理 > 更新	從 VMCA 為主機擷取全新的已簽署憑證。
使用 VMCA 進行管理 > 重新整理 CA 憑證或使用外部 CA 進行管理 > 重新整理 CA 憑證	將 TRUSTED_ROOTS 存放區 (位於 vCenter Server VECS 存放區中) 中的所有憑證推送到主機。

選項

說明

使用 VMCA 進行管理 > 更新

從 VMCA 為主機擷取全新的已簽署憑證。

使用 VMCA 進行管理 > 重新整理 CA 憑證

或

使用外部 CA 進行管理 > 重新整理 CA 憑證

將 TRUSTED_ROOTS 存放區 (位於 vCenter Server VECS 存放區中) 中的所有憑證推送到主機。