原因:

如果将ESXi主机升级到ESXi 6.0或更高版本,则升级过程会将自签名(指纹)证书替换为VMCA签名证书。如果ESXi主机使用自定义证书,则即使这些证书已过期或无效,升级过程也会保留这些证书。

如果您决定不将主机升级到ESXi 6.0或更高版本,则即使主机由使用VMCA证书的vCenter Server系统管理,主机也会保留当前使用的证书。

建议的升级工作流程取决于当前的证书。

  • 主机配置了指纹证书

  • 如果主机当前正在使用指纹证书,则会在升级过程中自动为其分配VMCA证书。



思路:

首次使用ESXi 6.0或更高版本软件引导时,始终会为Auto Deploy置备的主机分配新证书。升级由Auto Deploy置备的主机时,Auto Deploy服务器会为主机生成证书签名请求(CSR)并将其提交给VMCA。VMCA存储主机的签名证书。当Auto Deploy服务器配置主机时,它会从VMCA检索证书并将其作为配置过程的一部分包含在内。

主机配置了指纹证书

如果主机当前正在使用指纹证书,则会在升级过程中自动为其分配VMCA证书。(有可能会出现BUG,从ESXI5.x升级到ESXi6.x之后不会自动(无法)为其分配VMCA证书)


解决办法

更改证书模式

  1. 选择管理主机的vCenter Server,然后单击“ 配置”。

  2. 单击高级设置,然后单击编辑。

  3. 在“筛选器”框中,输入以仅显示证书管理密钥。

  4. 的值更改vpxd.certmgmt.mode到自定义的,如果你打算来管理自己的证书,并按确定,如果你暂时不想使用指纹模式,并单击OK。

  5. 重新启动vCenter Server服务。