当前位置：首页 > article >正文

将vCenter（VCSA）的默认证书替换为自己企业CA的证书

article 2026/5/25 8:15:39

安装了vCenter之后访问其页面默认的证书并不被Windows系统信任浏览器提示不安全的网站如果之前曾经给ESXi主机替换过合法证书加入vCenter的数据中心之后证书也被换为vCenter的不合法证书了。注如果Edge浏览器提示net::ERR_CERT_AUTHORITY_INVALID无法浏览网页就直接在键盘上键入thisisunsafe解决方法有两种。方法一信任vCenter自带的自签名证书。在登陆页面右侧有根证书下载下来双击证书点击“安装证书”将其导入“受信任的跟着证书颁发机构”即可。方法二使用自己企业的CA给VMCA颁发证书后者再自动颁发证书什么是VMCA在 vSphere 环境中vCenter Server、ESXi 主机以及各种后台服务之间通信时都需要 SSL 证书来证明身份并加密数据。VMware从6.5版本开始引入VMCA作为内置的私有CA其核心作用就是自动签发和管理这些证书这就避免了企业购买证书或者自己搭建 CA 服务器再手动给每台 ESXi 和每个 vCenter 服务配置证带来的巨大工作量。但需要注意的是VMCA默认使用自签名根证书这在某些安全要求严格的环境中可能不被接受所以本文使用企业的根CA给VMCA颁发证书后者成为了中间CA拥有了合法身份。1、得到根证书。在Windows 2016下配置好企业CA这就得到了根证书并且信任该证书流程略。注根证书默认有效期5年如果希望更长的有效期比如20年在安装企业CA之前需要修改C:\Windows\CAPolicy.inf的内容详细资料非本文讨论范畴可百度或AI。2、创建“从属证书颁发机构”模板命名为vSphere VMCA服务器管理器→工具→证书颁发机构在“证书模板”上右键→管理在“从属证书颁发机构”上点右键→复制模板注严格的说中间CA证书有效期不能超过根CA的有效期证书模板→新建→要颁发的证书模板选择刚才创建的vSphere VMCA关闭Windows 2016。3、打开VCSA的SSH功能既可以在DCUI界面里打开也可以进入vCenter的5480端口默认账号是root→访问→SSH登录。如果有必要就打开BASH Shell超时锁定比如99分钟。4、修改时区进入vCenter设置5480端口→时间编辑时区改为Asia/Shanghai。5、在 VCSA 上生成证书请求 CSR文件MobaXterm登录vCenter的BASH Shell界面。输入命令shellchsh -s /bin/bash rootMobaXterm新打开一个相同的SSH会话左侧会出现Linux目录树可以上传下载文件。mkdir /tmp/certs/usr/lib/vmware-vmca/bin/certificate-manager进入证书管理器开始生成证书请求。原始界面是英文我将其翻译为中文界面2n输入vCenter的账号administratorvsphere.local 再输入vCenter的密码接着是输入一些信息以便生成证书申请因为过长没有截图完全的“Hostname”是输入主机名vc.91xueit.com按1指定目录 /tmp/certs在其下生成证书请求CSR文件和私钥用MobaXterm左侧工具栏把证书申请文件vmca_issued_csr.csr拖出来放在Windows桌面。6、将 CSR 提交给 Windows 企业 CA 签名获得 VMCA 中间 CA 证书打开vmca_issued_csr.csr将其内容粘贴到证书申请界面。如果你的CA地址是192.168.80.120网址就是http://192.168.80.120/certsrv申请证书→高级证书申请贴入证书“证书模板”选择vSphere VMCA→提交勾选Base 64编码下载证书即中间证书改名为CA.cer7、构建完整证书链文件更新证书得到的中间CA的证书还要处理一下在其中加上其余的证书以构建完整的证书链格式如下顺序很重要VMCA 证书在最上面根证书在最下面。对于本实验中间CA证书之外只有根证书所以把根证书的内容加到中间CA证书之下也就是说CA.cer包含2个证书。注意如果倒数第一行是空行就删除将CA.cer拖动到MobaXterm的左侧栏目录是/tmp/certs回到之前的SSH会话按1导入刚才上传过来的证书文件和本地生成的私钥再按y开始更新证书并重启vCenter需要等待一会。关闭Edge再打开当可以访问VCSA的FQDN地址vc.91xueit.com即会发现不再提示证书错误前提是信任了企业根CA查看网页的证书可见该证书是由中间CA签发的中间CA又是由根CA签发的命令行提示成功更新证书替换完毕虽8、虽然浏览器访问vCenter不再提示证书错误但访问ESXi主机还是会提示证书错误解决方法如下点击最顶部的vCenter名称→配置→高级配置→编辑设置找到vpxd.certmgmt.certs.minutesBefore大概在第74页将其值由1440改为10保存在左侧列表单击ESXi主机→配置→系统→证书→更新给ESXi主机更新证书。从vCenter里下载证书压缩包https://你的vCenter_FQDN/certs/download.zip解压缩后在win目录下找到中间CA证书双击导入”中间证书颁发机构“。现在你已经信任了中间CA中间证书颁发机构再加上之前信任的企业根CA受信任的根证书颁发机构构建起完整的证书链再次访问ESXi主机就不会提示证书问题了。

将vCenter（VCSA）的默认证书替换为自己企业CA的证书

相关文章：

将vCenter（VCSA）的默认证书替换为自己企业CA的证书

终极游戏翻译解决方案：XUnity.AutoTranslator完整指南

iOS砸壳与反编译实战：从FairPlay解密到Swift逆向分析

Cloudflare四重验证机制与行为建模反爬原理深度解析

Burp Suite Galaxy插件实战：上下文感知解密中枢搭建指南

智能识别告警系统完整方案

XUnity.AutoTranslator：打破语言障碍，让Unity游戏实时翻译变得简单

解锁iOS设备无限可能：2026最新越狱技术深度解析与实战指南

百度网盘下载速度太慢？Python脚本帮你获取高速直链

AI写论文神器合集！4款AI论文写作工具，解决你的论文烦恼！

华硕笔记本性能优化终极指南：如何用G-Helper替代Armoury Crate提升体验

3分钟快速解密网易云音乐NCM文件：免费工具完整使用指南

JMeter实战：从接口测试到性能基线的全链路压测指南

机器学习生存分析实战：从XGBoost-AFT到临床预测模型构建

基于MLP误差预测的自适应多尺度模拟：原理、实现与应用

Propius：面向协同机器学习的异构边缘资源管理平台架构解析

机器学习在金融风控中的应用：随机森林与SVM银行破产预测对比

机器学习数据最小化实战：从联邦学习到差分隐私的隐私保护架构

用Python从零搭建GridWorld环境：手把手教你实现值迭代与策略迭代（附完整代码）

保姆级教程：用NumPy手搓一个逻辑回归，搞定西瓜书3.0α数据集分类

用Python手撸一个垃圾邮件过滤器：从数据清洗到模型预测的保姆级教程

操作简便吗？8款AI论文写作工具综合榜，毕业答辩稳了！

Claude Code SubAgents 配置实战：4个现成配置，复制就能用

WordPress AI: 7.0如何为AI驱动的网站奠定基础

你的音乐不该被格式绑架：用QMCDecode一键解锁QQ音乐加密文件

如何在Blender中实现专业级MMD模型动画制作：5步完整解决方案

工业智能化的时序选型指南：当数据底座遇见机器学习

书匠策AI｜论文降重降AIGC，原来可以这么丝滑？官网www.shujiangce.com一键解锁！

融合gws-PINNs与马尔可夫切换模型：反演跳跃系数PDE的混合框架

5分钟实现Rhino到Blender转换：3dm文件导入完整教程