如果使用 VMware Certificate Authority (VMCA) 為主機指派憑證,您可以從 vSphere Client 更新這些憑證。如果使用 VMCA 憑證或自訂憑證,則可以重新整理與 vCenter Server 關聯的 TRUSTED_ROOTS 存放區中的所有憑證。
如果憑證即將到期,或者基於其他原因要使用新憑證佈建主機,則可以使用 vSphere Client 更新您的 VMCA 憑證。如果在到期之前未更新 VMCA 憑證,則中斷主機連線後又將其重新連線時,會使 vCenter Server 更新憑證。將主機重新新增到 vCenter Server 會重新建立信任,並使 vCenter Server 無條件地簽發更新的憑證。
依預設,每次將主機新增至詳細目錄或重新連線時,vCenter Server 會更新狀態為 [已到期]、[立即到期] 或 [即將到期] 的主機 VMCA 憑證。
為 ESXi 憑證更新的到期日期不能晚於受信任根憑證的到期日期。例如,即使 ESXi vpxd.certmgmt.certs.daysValid 進階選項設定為五年,並且受信任的根憑證設定為在兩年後到期,ESXi 憑證的到期日期也限制為兩年。
您可以使用 vSphere Client 將目前位於 vCenter Server VECS 存放區的 TRUSTED_ROOTS 存放區中的所有憑證推送至 ESXi 主機。如果需要重新整理 ESXi 主機上的受信任根憑證,請使用此功能。此功能同時適用於 VMCA 憑證和自訂憑證。
必要條件
- 如果使用 VMCA 憑證,憑證模式將設定為 vmca。
- 如果使用自訂憑證,憑證模式將設定為自訂。
- ESXi 主機已連線到 vCenter Server 系統。
- vCenter Server 系統和 ESXi 主機之間存在適當的時間同步。
- 可在 vCenter Server 系統和 ESXi 主機之間進行 DNS 解析。
- vCenter Server 系統的 MACHINE_SSL_CERT 和 Trusted_Root 憑證是有效的,且尚未到期。請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/2111411。
- ESXi 主機未處於維護模式。
備註: 如果您使用自訂憑證,並且需要更新這些憑證,請重新匯入憑證。