Vcenter 7.0.3j 位於其中一台ESXi虛擬機
ESXi 7.0.3j 二台
因需要在VMware安裝Win11,需要啟動TPM
啟動TPM需要強制備份原生金鑰,備份流程需要下載金鑰
下載金鑰強制需要FQDN,FQDN需要安裝SSL
一環扣一環下要從VMWare Machine CERT開始解決
手邊已有公司網域的Wildcard crt和CA
CA已經放入受信任CA裡面,認為影響是0就放了,然後放了才發現不能刪掉.
機器SSL憑證因FQDN要求所以只能取代為外部CA憑證
然後VCenter會連帶控制ESXi的憑證,我又是第一次處理VMware的SSL所以問題很多
想詢問的是一旦我取代後會發生什麼事情? 對外部Storage(NAS LUN Target)的影響?
SSL壞了會影響到我VM的運作導致停機或不能存取?
我目前研究後知道的風險如下
1.更新SSL需要重新啟動vsphere-ui服務或直接重開機VCenter
2.VCenter可能無法連線到主機需退出重新加入 (退出加入對虛擬機的影響?)
3.Veeam在Vcenter更新SSL後可能會備份失敗需要重新驗證連線
然後發現機器憑證有效到今年中,遲早要面對
公司沒有Lab可以大膽Try所以我想先確保影響和風險發生時可以被解決
希望各位可以協助風險是否存在和解決
只更新SSL步驟應該很單純的只需要放置CA > 更新機器SSL憑證為外部憑證 > 重啟VCenter
或者有其他我還需要注意的?
EDIT:持續研究發現VCenter不支援wildcard SSL...
虛擬機的Win11安裝時跳過TPM不就好了0.0?