使用自訂憑證更新 Dell VxRail (客戶可修正)
Summary: 為 Dell VxRail 環境更換為客戶憑證的逐步指南。vSphere 透過使用憑證來加密通訊、驗證服務及簽署權杖,以提供安全性。
Instructions
vSphere 使用憑證以協助:
- 加密兩個節點之間的通訊,例如 vCenter Server 和 ESXi 主機。
- 驗證 vSphere 服務。
- 執行內部動作,例如簽署權杖。
vSphere 的內部認證機構 VMware Certificate Authority (VMCA) 提供 vCenter Server 和 ESXi 所需的所有憑證。VMCA 安裝在每個平台服務控制器上,無需任何其他修改即可立即保護解決方案。保留此預設組態可將憑證管理的作業負荷降至最低。vSphere 提供了一種機制,可以在這些憑證過期時更新這些憑證。
vSphere 另提供了一種機制,可將某些憑證更換為您自己的憑證。但是,建議僅更換在節點之間提供加密的 SSL 憑證,以保持較低的憑證管理負荷。
自訂憑證整合
vSphere 環境非常靈活,可讓客戶有機會使用自訂 SSL 憑證,因為客戶有時會要求使用自訂 SSL 憑證。下列步驟會引導您在 VxRail 環境中變更各種元件的憑證。
- 更換 VxRail Manager 的自我簽署憑證
- 此程序可在 SolVe Online 入口網站上存取。前往「操作方法」程序 > 「操作方法」變更其他 VxRail Cluster 設定 > 選擇您目前的 VxRail Manager 版本 > 更換 VxRail Manager SSL 憑證,然後產生程序。如果您無法存取該入口網站,請聯絡 Dell 支援。如需建立憑證簽署要求和修改所接收憑證檔案的指南,請參閱 KB 文章 VxRail:如何為 VxRail Manager 套用新憑證。
- 使用自訂認證機構 (CA) 簽署的憑證取代 vCenter Server 憑證
- 請遵循 VMware 提供的指南:使用 vSphere 憑證管理員產生憑證簽署要求 (自訂憑證)
。
- 如需使用憑證管理員進行憑證更換的程序更進一步的概觀,請參閱 VMware KB 將 vSphere 6.x /7.x 機器 SSL 憑證更換為自訂認證機構簽署的憑證 (2112277)
- 若要說明如何使用 PSC 產生自訂簽署的憑證,請參閱 KB 文章 Dell VxRail:如何在 PSC 上產生 CSR (憑證簽署要求) 和私人金鑰。
- 請遵循 VMware 提供的指南:使用 vSphere 憑證管理員產生憑證簽署要求 (自訂憑證)
- 在自訂憑證整合後,手動重新建立 VxRail Manager 和 vCenter Server 之間的信任
- 更換 vCenter Server 憑證時,應在 VxRail Manager VM 上將新的憑證手動更新,以便兩個實體之間重新建立信任。若要達成此目標,請遵循 KB 文章 VxRail:如何在 VxRail Manager 上手動匯入 vCenter SSL 憑證。
- 更換 ESXi 主機 SSL 憑證
- 可在 VMware 取得 ESXi 憑證簽署要求的需求,位址為:https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- 若要在 vSAN 環境中的 ESXi 主機上切換為使用自訂憑證,請遵循 VMware KB 透過 CLI 在 ESXi 主機上新增自訂憑證 (56441)
- 可在 VMware 取得 ESXi 憑證簽署要求的需求,位址為:https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html
- 更換 vRealize Log Insight 憑證
注意:Dell 支援不支援使用第三方工具產生憑證簽署要求 (CSR),或使用內部公司的 CA 來簽署。
如果您在更換憑證時遇到任何問題,請聯絡 Dell 支援以取得協助。
Additional Information
相關資源
以下是一些與本主題相關的建議資源,您可能會感興趣:
以下是一些與本主題相關的建議資源,您可能會感興趣: