使用自訂憑證更新 Dell VxRail (客戶可修正)

vSphere 使用憑證以協助：

• 加密兩個節點之間的通訊，例如 vCenter Server 和 ESXi 主機。
• 驗證 vSphere 服務。
• 執行內部動作，例如簽署權杖。

vSphere 的內部認證機構 VMware Certificate Authority (VMCA) 提供 vCenter Server 和 ESXi 所需的所有憑證。VMCA 安裝在每個平台服務控制器上，無需任何其他修改即可立即保護解決方案。保留此預設組態可將憑證管理的作業負荷降至最低。vSphere 提供了一種機制，可以在這些憑證過期時更新這些憑證。

vSphere 另提供了一種機制，可將某些憑證更換為您自己的憑證。但是，建議僅更換在節點之間提供加密的 SSL 憑證，以保持較低的憑證管理負荷。

自訂憑證整合

vSphere 環境非常靈活，可讓客戶有機會使用自訂 SSL 憑證，因為客戶有時會要求使用自訂 SSL 憑證。下列步驟會引導您在 VxRail 環境中變更各種元件的憑證。

1. 更換 VxRail Manager 的自我簽署憑證
   • 此程序可在 SolVe Online 入口網站上存取。前往「操作方法」程序 > 「操作方法」變更其他 VxRail Cluster 設定 > 選擇您目前的 VxRail Manager 版本 > 更換 VxRail Manager SSL 憑證，然後產生程序。如果您無法存取該入口網站，請聯絡 Dell 支援。如需建立憑證簽署要求和修改所接收憑證檔案的指南，請參閱 KB 文章 VxRail：如何為 VxRail Manager 套用新憑證。
2. 使用自訂認證機構 (CA) 簽署的憑證取代 vCenter Server 憑證
   • 請遵循 VMware 提供的指南：使用 vSphere 憑證管理員產生憑證簽署要求 (自訂憑證)。
   • 如需使用憑證管理員進行憑證更換的程序更進一步的概觀，請參閱 VMware KB 將 vSphere 6.x /7.x 機器 SSL 憑證更換為自訂認證機構簽署的憑證 (2112277)。
   • 若要說明如何使用 PSC 產生自訂簽署的憑證，請參閱 KB 文章 Dell VxRail：如何在 PSC 上產生 CSR (憑證簽署要求) 和私人金鑰。
3. 在自訂憑證整合後，手動重新建立 VxRail Manager 和 vCenter Server 之間的信任
   • 更換 vCenter Server 憑證時，應在 VxRail Manager VM 上將新的憑證手動更新，以便兩個實體之間重新建立信任。若要達成此目標，請遵循 KB 文章 VxRail：如何在 VxRail Manager 上手動匯入 vCenter SSL 憑證。
4. 更換 ESXi 主機 SSL 憑證
   • 可在 VMware 取得 ESXi 憑證簽署要求的需求，位址為：https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-0AE0B563-59D6-45A5-BF46-6FE68607687B.html。
   • 若要在 vSAN 環境中的 ESXi 主機上切換為使用自訂憑證，請遵循 VMware KB 透過 CLI 在 ESXi 主機上新增自訂憑證 (56441)。最好一律能在主機外 (例如使用 WinSCP 等用戶端) 備份舊 ESXi 憑證，以便在更換程序發生任何問題時能夠還原。
5. 更換 vRealize Log Insight 憑證
   • 請遵循 https://docs.vmware.com/en/vRealize-Log-Insight/4.5/com.vmware.log-insight.administration.doc/GUID-93E0A9FA-9C72-47AE-9E54-9982F4604FE1.html 提供的指南。

如果您在更換憑證時遇到任何問題，請聯絡 Dell 支援以取得協助。

• Dell EMC VxRail：在已啟用 mTLS 的叢集中的 VxRail Manger SSL 憑證需求
• Dell EMC VxRail：無法登入 vCenter，傳回錯誤 500 SSO。PSC&VC 憑證到期且更新失敗。