每一家公司对于网络的安全策略都会有所不同,有些公司的安全策略可能要求您在每台主机上将默认的 ESXi SSL 证书替换为第三方 CA 签名的证书。
默认情况下,vSphere 组件使用在安装过程中创建的 VMCA 签名证书和密钥。如果意外删除 VMCA 签名证书,请从其 vCenter Server 系统中移除该主机,然后再重新添加该主机。在添加主机时,vCenter Server 会请求由 VMCA 颁发的新证书,并使用该证书置备主机。
如果公司策略有相关要求,则可以将 VMCA 签名证书替换为由受信任的 CA(如Comodo、Symantec、GeoTrust、GlobalSign)颁发的证书。
默认证书位于与 vSphere 5.5 证书相同的位置。则可以通过各种方式将默认证书替换为受信任的证书。
注:
也可以使用 vSphere Web Services SDK 中的 vim.CertificateManager 和 vim.host.CertificateManager 受管对象。
如何申请受信任的CA颁发的证书
信孚科技为国内各大站长提供多个品牌的ssl证书,包括Comodo、Symantec、GeoTrust、GlobalSign等全球信任的颁发机构(CA),而ssl证书的类型包括dv ssl证书、ov ssl证书以及ev ssl证书。信孚科技为国内各大站长提供专业的技术支持,帮助客户完成证书部署工作。因此,如果你有SSL证书的需求,可以联系信孚科技的工作人员,他们将会为你逐一解决你的问题。
替换证书后,您还必须在管理主机的 vCenter Server 系统上更新 VECS 中的 TRUSTED_ROOTS 存储,以确保 vCenter Server 和 ESXi 主机建立信任关系。
ESXi 证书签名请求的要求
如果要使用企业或第三方CA 签名证书,必须向 CA 发送证书签名请求 (CSR)。
从 ESXi Shell 替换默认证书和密钥
可以从 ESXi Shell 替换默认的 VMCA 签名的 ESXi 证书。
通过 vifs 命令替换默认证书和密钥
可以通过使用 vifs 命令替换默认的 VMCA 签名的 ESXi 证书。
通过 HTTPS PUT 替换默认证书
可以使用第三方应用程序上载证书和密钥。支持 HTTPS PUT 操作的应用程序可以与 ESXi 包含的 HTTPS 接口配合使用。
更新 vCenter Server TRUSTED_ROOTS 存储(自定义证书)
如果将 ESXi 主机设置为使用自定义证书,则必须在管理主机的 vCenter Server 系统上更新 TRUSTED_ROOTS 存储。