使用自定义证书更新 Dell VxRail（客户可纠正）

vSphere 使用证书执行以下操作：

• 加密两个节点（如 vCenter Server 和 ESXi 主机）之间的通信。
• 对 vSphere 服务进行身份验证。
• 执行内部操作，例如对令牌进行签名。

vSphere 的内部证书颁发机构，即 VMware 证书颁发机构 (VMCA)，提供 vCenter Server 和 ESXi 所需的全部证书。VMCA 安装在每个平台服务控制器上，无需任何其他修改即可立即保护解决方案的安全。保留此默认配置可为证书管理提供最低的运营开销。vSphere 提供了一种机制，可以在这些证书到期时续订它们。

此外，vSphere 还提供一种机制，可将某些证书更换为您自己的证书。但是，建议仅更换在节点之间提供加密的 SSL 证书，以保持较低的证书管理开销。

自定义证书集成

vSphere 环境非常灵活，为客户提供使用自定义 SSL 证书的机会，因为他们的公司政策有时会强制要求这样做。以下步骤将指导您在 VxRail 环境中更改各种组件的证书。

1. 更换 VxRail Manager 的自签名证书
   • 您可在 SolVe Online 门户上访问此过程。转至 'How To' Procedures > 'How To' Change other VxRail Cluster settings > 选择您当前的 VxRail Manager 版本 > Replace the VxRail Manager SSL Certificate，然后生成此过程。如果您无法访问该门户，请联系戴尔支持。有关创建证书签名请求和修改收到的证书文件的指导，请参阅知识库文章 VxRail：如何为 VxRail Manager 申请新证书。
2. 使用自定义证书颁发机构 (CA) 签名证书更换 vCenter Server 证书
   • 请遵循 VMware 提供的指南：使用 vSphere Certificate Manager 生成证书签名请求（自定义证书）（英文版）。
   • 要获得使用 Certificate Manager 更换证书的过程的更好概览，请参阅 VMware 知识库文章使用自定义证书颁发机构签名证书更换 vSphere 6.x/7.x 机器 SSL 证书 (2112277)（英文版）。
   • 要说明如何使用 PSC 生成自定义签名证书，请参阅知识库文章 Dell VxRail：如何在 PSC 上生成 CSR（证书签名请求）和私钥。
3. 集成自定义证书后，手动重新建立 VxRail Manager 与 vCenter Server 之间的信任
   • 更换 vCenter Server 证书后，应在 VxRail Manager 虚拟机上手动更新新证书，以便在两个实体之间重新建立信任。要实现此目的，请遵循知识库文章 VxRail：如何在 VxRail Manager 上手动导入 vCenter SSL 证书。
4. 更换 ESXi 主机 SSL 证书
   • 有关 ESXi 证书签名请求的要求，请访问 VMware 网站：https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html。
   • 要切换到在 vSAN 环境中的 ESXi 主机上使用自定义证书，请遵循 VMware 知识库文章通过 CLI 在 ESXi 主机上添加自定义证书 (56441)（英文版）。最好总是在主机外部备份旧的 ESXi 证书（例如，使用 WinSCP 等客户端），以便在更换过程中出现任何问题时能够进行恢复。
5. 更换 vRealize Log Insight 证书
   • 请按照 https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html 上提供的指南进行操作。

如果您在更换证书期间遇到任何问题，请联系戴尔支持以获得帮助。

• Dell EMC VxRail：启用 mTLS 的群集中的 VxRail Manger SSL 证书的要求
• Dell EMC VxRail：无法登录 vCenter 并显示错误 500 SSO。PSC&VC 证书已过期且续订失败。