问题描述:
在对vCenter进行深度巡检工作时检测出1台ESXi主机证书已过期,但是在vCenter选择对应ESXi主机—配置—证书后发现并不能显示出ESXi主机的证书,并且点击更新和刷新CA证书均无效,如图所示
通过搜索社区相关话题和KB(ESXi ceritificates not showing in vCenter,Vcenter can’t see certificate from vsphere host,Change the Certificate Mode)
solution:
更改证书模式
官方文档:
Use VMCA to provision the ESXi hosts in your environment unless corporate policy requires that you use custom certificates. To use custom certificates with a different root CA, you can edit the vCenter Server vpxd.certmgmt.mode advanced option. After the change, the hosts are no longer automatically provisioned with VMCA certificates when you refresh the certificates. You are responsible for the certificate management in your environment.
You can use the vCenter Server advanced settings to change to thumbprint mode or to custom CA mode. Use thumbprint mode only as a fallback option.
Procedure
- In the vSphere Client, select the vCenter Server system that manages the hosts.
- Click Configure, and under Settings, click Advanced Settings.
- Click Edit Settings.
- Click the Filter icon in the Name column, and in the Filter box, enter vpxd.certmgmt to display only certificate management parameters.
- Change the value of vpxd.certmgmt.mode to custom if you intend to manage your own certificates, and to thumbprint if you temporarily want to use thumbprint mode, and click Save.
- Restart the vCenter Server service.
翻译为中文:
使用 VMCA 置备环境中的 ESXi 主机,除非公司策略要求您使用自定义证书。要将自定义证书用于其他根 CA,可以编辑 vCenter Server vpxd.certmgmt.mode 高级选项。更改后,刷新证书时,不再自动置备主机的 VMCA 证书。您负责环境中的证书管理。
可以使用 vCenter Server 高级设置更改为指纹模式或自定义 CA 模式。仅将指纹模式用作回退选项。
过程
- 在 vSphere Client 中,选择管理主机的 vCenter Server 系统。
- 单击“配置”,然后在“设置”下单击“高级设置”。
- Click编辑设置。
- Click“名称”列中的“筛选器”图标,然后在“筛选器”文本框中输入 vpxd.certmgmt 以仅显示证书管理参数。
- 如果要管理自己的证书,请将 vpxd.certmgmt.mode 的值更改为 custom,如果临时希望使用指纹模式,请将 vpxd.certmgmt.mode 的值更改为thumbprint,然后单击“保存”。
- 重新启动 vCenter Server 服务。
总结:
vCenter的高级设置中的vpxd.certmgmt.mode选项用于管理ESXi主机的证书管理模式。ESXi主机上的证书可能过期,这可能导致一些问题。因此,通过更改此设置,可以对ESXi主机的证书进行管理。
具体来说,vpxd.certmgmt.mode有以下三种模式:
- vmca:这是vCenter的默认证书管理模式。在这种模式下,vCenter会使用VMCA(vCenter Certificate Authority)来为ESXi主机生成证书。
- custom: 在custom模式下,管理员可以手动指定证书颁发机构(CA)和证书模板,以便为ESXi主机生成自定义证书。
- thumbprint:在这种模式下,vCenter会使用ESXi主机上安装的证书的指纹来验证证书的有效性。
所以,将vCenter高级设置中vpxd.certmgmt.mode选项值设定为vmca,然后重新启动vCenter,再次选中主机,配置—证书中即可查看到ESXi主机的证书了,如果证书已过期或即将到期则可以点击“更新”来为ESXi主机续签证书。
至此,该问题得到解决,注意,此次问题涉及的vCenter版本为vSphere Client 版本 7.0.3.01700(22357613),ESXi版本为VMware ESXi, 7.0.3, 21930508如果您的环境并非运行在此版本至上配置参数和操作过程或许存在差异,请以VMware官方发布的资料为准。如在生产环境上修改配置建议请务必在操作之前对vCenter进行一次有效的备份。
There are currently no comments available