以下内容是我自己的生产环境的情况结合VMware官方文档的操作步骤,在此仅做记录,不保证适用其他场景需求:
VMware官方文档:https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-DC693417-78CF-477F-9A4F-AFC9AA1D74E7.html
CA:Windows Server 2016(已提前部署了CA)
vSphere: ESXi 6.7 update 3
vCetner:VMware vCenter 6.7(Windows Server 2012 R2)
VMware vCenter支持根据公司策略和正配置的系统的要求来执行不同类型的证书替换。可以使用 vSphere Certificate Manager 实用程序从 Platform Services Controller 执行证书替换,也可以通过使用安装中包含的 CLI 手动执行证书替换。
VMCA 包含在每个 Platform Services Controller 和每个嵌入式部署中。VMCA 可置备每个节点、每个 vCenter Server 解决方案用户,以及每个使用由 VMCA 签名的证书作为证书颁发机构的 ESXi 主机。vCenter Server 解决方案用户是 vCenter Server 服务组。
可以替换默认证书。对于 vCenter Server 组件,可以使用安装中包含的一组命令行工具。您具有多个选择。
此处仅对第二种替换方式(使VMCA成为中间CA)进行记录
在证书模板的空白处,点击右键,选择“新建” > “要颁发的证书模板”,在弹出窗口中选择刚刚新建的证书模板,点击确定即可
登录vCenter所在的物理服务器
进入以下目录C:\Program Files\VMware\vCenter Server\vmcad\
选择选项 2。
首先,使用此选项生成 CSR,而不是替换证书。
选择选项 1 以生成 CSR 并按提示提供信息。(在此流程中,您必须提供一个目录。证书管理器会将要签名的证书(.csr 文件)和相应密钥文件(.key 文件)放入该目录中。如果没有目录则需要先创建好。例如:我这边是在D盘创建了一个D:\SSL\CSRS目录)
使用IE浏览器打开CA服务器的证书申请页面http://
选择“使用base64编码的CMC或PKCS #10文件提交一个证书申请,或使用base64编码的PKCS #7文件续订证书申请”
将刚刚使用记事本打开的vmca_issued_csr.csr文件内容复制粘贴到“Base-64编码的证书申请(CMC或PKCS #10或PKCS #7)”
证书模板选择“VMware vCenter 6.7 VMCA”
拼接证书文件
继续选择1选项
输入刚刚创建的root_signing_chain.cer文件路径和刚刚生成的vmca_issued_key.key文件路径
证书替换完成后,使用Administrator用户登录vCenter,在vCenter 的FQDN下点击,配置>高级配置,修改一下vpxd.certmgmt.certs.minutesBefore,把1440改成10,然后保存,如果此处不修改,后续更新ESXi服务器证书时会提示诸如下面的报错:“Unable to get signed certificate forhost name ‘xxx.xxx.xxx’ ip ‘xxx.xxx.xxx.xxx’: Error: Start Time Error (70034)”
证书导入成功后即可在系统管理>证书管理中,可信根证书列表中查看到最新导入的根证书,根证书的签发者应该是企业CA或第三方CA
点击计算机SSL证书和解决方案证书上的“操作”,选择续订,即可更新为新CA证书签发的证书
登录一个ESXi主机,进入配置>证书页面,点击“更新”和“刷新CA证书”即可刷新ESXi的证书
注:ESXi主机的时间需要与vCenter服务器的时间一致,否则无法刷新
再次申明:以上内容是我自己的生产环境的情况结合VMware官方文档的操作步骤,在此仅做记录,不保证适用其他场景需求,请以VMware官方文档为准
VMware官方文档:https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-DC693417-78CF-477F-9A4F-AFC9AA1D74E7.html