Você pode usar o vSphere Certificate Manager para gerar Solicitações de Assinatura de Certificado (CSRs). Envie essas CSRs para a sua autoridade de certificação corporativa ou para uma autoridade de certificação externa para assinatura. Você pode usar os certificados assinados com os diferentes processos de substituição de certificados com suporte.

  • Você pode usar vSphere Certificate Manager para criar o CSR.
  • Se você preferir criar o CSR manualmente, o certificado que você envia para ser assinado deve atender aos seguintes requisitos.
    • Tamanho da chave: 2048 bits (mínimo) a 16384 bits (máximo) (codificação PEM)
    • Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando as chaves são adicionadas ao VECS, elas são convertidas em PKCS8.
    • x509 versão 3
    • A extensão da autoridade de certificação deve ser definida como verdadeira para certificados raiz e o sinal de certificado deve estar na lista de requisitos. Por exemplo:
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • A assinatura da CRL deve estar habilitada.
    • O uso estendido da chave pode estar vazio ou conter a autenticação do servidor.
    • Nenhum limite explícito para o comprimento da cadeia de certificados. O VMCA usa o padrão OpenSSL, que é 10 certificados.
    • Não há suporte para certificados com curingas ou com mais de um nome DNS.
    • Não é possível criar CAs subsidiárias da VMCA.

      Consulte o VMware artigo da base de conhecimento em http://kb.vmware.com/kb/2112009 , Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x, para obter um exemplo usando a Microsoft Autoridade de certificação.

Pré-requisitos

vSphere Certificate Manager solicita informações. Os prompts dependem do seu ambiente e do tipo de certificado que você deseja substituir.

Para qualquer geração de CSR, será solicitada a senha do usuário [email protected] ou para o administrador do domínio vCenter Single Sign-On ao qual você está se conectando.

Procedimento

  1. Execute o vSphere Certificate Manager.
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Selecione a Opção 2.
    Inicialmente, você usa essa opção para gerar a CSR, não para substituir certificados.
  3. Forneça a senha e o vCenter Server endereço IP ou nome do host, se solicitado.
  4. Selecione a Opção 1 para gerar o CSR e responder aos prompts.
    Como parte do processo, você deve fornecer um diretório. O Certificate Manager coloca o certificado a ser assinado (arquivo *. Csr ) e o arquivo de chave correspondente (arquivo *. Key ) no diretório.
  5. Nomeie a solicitação de assinatura de certificado (CSR) como root_signing_cert.csr .
  6. Envie o CSR para a sua empresa ou CA externa para assinar e nomeie o certificado assinado resultante como root_signing_cert.cer .
  7. Em um editor de texto, combine os certificados da seguinte maneira. 
    -----BEGIN CERTIFICATE-----
Signed VMCA root certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----
  8. Salve o arquivo como root_signing_chain.cer .

O que Fazer Depois

Substitua o certificado raiz existente pelo certificado raiz encadeado. Consulte Substituir o certificado raiz da VMCA por um certificado de assinatura personalizado e substituir todos os certificados.