Os requisitos de certificado dependem se você usa o VMCA como uma autoridade de certificação intermediária ou se usa certificados personalizados. Os requisitos também são diferentes para certificados de máquina.

Antes de começar, certifique-se de que todos os nós em seu ambiente estejam sincronizados.

Observação: O vSphere implanta apenas certificados RSA para autenticação de servidor e não oferece suporte à geração de certificados ECDSA. O vSphere verifica os certificados ECDSA apresentados por outros servidores. Por exemplo, se o vSphere se conectar a um servidor syslog e o servidor syslog tiver um certificado ECDSA, o vSphere oferecerá suporte à verificação desse certificado.

Requisitos para todos os certificados importados

  • Tamanho da chave: 2048 bits (mínimo) a 16384 bits (máximo) (codificação PEM)
  • Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando você adiciona chaves ao VECS, elas são convertidas em PKCS8.
  • x509 versão 3
  • SubjectAltName deve conter o nome DNS = machine_FQDN
  • Formato CRT
  • Contém os seguintes usos de chave: assinatura digital, codificação de chave.
  • Isentando o certificado de usuário da solução vpxd-extension, o uso de chave estendido pode estar vazio ou conter a autenticação do servidor.
O VMCA não oferece suporte aos certificados a seguir.
  • Certificados com curingas.
  • Os algoritmos md2WithRSAEncryption 1.2.840.113549.1.1.2, md5WithRSAEncryption 1.2.840.113549.1.1.4 e sha1WithRSAEncryption 1.2.840.113549.1.1.5 não são recomendados.
  • O algoritmo RSASSA-PSS com OID 1.2.840.113549.1.1.10 não é suportado.

Conformidade do certificado para RFC 2253

O certificado deve estar em conformidade com a RFC 2253.

Se você não gerar CSRs usando o Certificate Manager, certifique-se de que a CSR inclua os seguintes campos.

Cadeia de caracteres X.500 AttributeType
CN commonName
L localityName
ST stateOrProvinceName
O organizationName
OU organizationalUnitName
C countryName
RUA streetAddress
Washington,D.C. domainComponent
UID userid
Se você gerar CSRs usando o Certificate Manager, serão solicitadas as seguintes informações e o Certificate Manager adicionará os campos correspondentes ao arquivo CSR.
  • A senha do usuário [email protected] ou para o administrador do domínio vCenter Single Sign-On ao qual você está se conectando.
  • Informações que o Certificate Manager armazena no arquivo certool.cfg . Para a maioria dos campos, você pode aceitar o padrão ou fornecer valores específicos do site. O FQDN da máquina é necessário.
    • Senha para [email protected]
    • Código de duas letras do país
    • Nome da empresa
    • Nome da organização
    • Unidade organizacional
    • Estado
    • Localidade
    • Endereço IP (opcional)
    • E-mail
    • Nome do host, ou seja, o nome de domínio totalmente qualificado da máquina para a qual você deseja substituir o certificado. Se o nome do host não corresponder ao FQDN, a substituição do certificado não será concluída corretamente e seu ambiente poderá ficar instável.
    • Endereço IP do nó vCenter Server no qual você executa o Certificate Manager.

Requisitos ao usar o VMCA como uma autoridade de certificação intermediária

Quando você usa o VMCA como uma autoridade de certificação intermediária, os certificados devem atender aos seguintes requisitos.
Tipo de certificado Requisitos de certificado
Certificado raiz
  • Você pode usar vSphere Certificate Manager para criar o CSR. Consulte Gerar CSR com vSphere Certificate Manager e preparar certificado raiz (CA intermediária).
  • Se você preferir criar o CSR manualmente, o certificado que você envia para ser assinado deve atender aos seguintes requisitos.
    • Tamanho da chave: 2048 bits (mínimo) a 16384 bits (máximo) (codificação PEM)
    • Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando as chaves são adicionadas ao VECS, elas são convertidas em PKCS8.
    • x509 versão 3
    • A extensão da autoridade de certificação deve ser definida como verdadeira para certificados raiz e o sinal de certificado deve estar na lista de requisitos. Por exemplo:
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • A assinatura da CRL deve estar habilitada.
    • O uso estendido da chave pode estar vazio ou conter a autenticação do servidor.
    • Nenhum limite explícito para o comprimento da cadeia de certificados. O VMCA usa o padrão OpenSSL, que é 10 certificados.
    • Não há suporte para certificados com curingas ou com mais de um nome DNS.
    • Não é possível criar CAs subsidiárias da VMCA.

      Consulte o VMware artigo da base de conhecimento em http://kb.vmware.com/kb/2112009 , Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x, para obter um exemplo usando a Microsoft Autoridade de certificação.

Certificado SSL de máquina

Você pode usar o vSphere Certificate Manager para criar o CSR ou criar o CSR manualmente.

Se você criar a CSR manualmente, ela deverá atender aos requisitos listados anteriormente em Requisitos para todos os certificados importados . Você também precisa especificar o FQDN para o host.

Certificado de usuário de solução

Você pode usar vSphere Certificate Manager para criar o CSR ou criar o CSR manualmente.

Observação: Você deve usar um valor diferente para Nome para cada usuário da solução. Se você gerar o certificado manualmente, isso pode aparecer como CN (CN) em Assunto (Subject), dependendo da ferramenta usada.

Se você usar vSphere Certificate Manager, a ferramenta solicitará informações de certificado para cada usuário da solução. vSphere Certificate Manager armazena as informações em certool.cfg . Consulte Informações solicitadas pelo gerenciador de certificados .

Para o usuário da solução vpxd-extension, você pode deixar o uso de chave estendido vazio ou usar a "autenticação de cliente TLS WWW".

Requisitos para certificados personalizados

Quando você quiser usar certificados personalizados, os certificados devem atender aos seguintes requisitos.
Tipo de certificado Requisitos de certificado
Certificado SSL de máquina O certificado SSL da máquina em cada nó deve ter um certificado separado da sua autoridade de certificação de terceiros ou corporativa.
  • Você pode gerar o CSR usando o vSphere Client ou o vSphere Certificate Manager, ou criar o CSR manualmente. O CSR deve atender aos requisitos listados anteriormente em Requisitos para todos os certificados importados .
  • Para a maioria dos campos, você pode aceitar o padrão ou fornecer valores específicos do site. O FQDN da máquina é necessário.
Certificado de usuário de solução Cada usuário da solução em cada nó deve ter um certificado separado da sua CA de terceiros ou corporativa.
  • Você pode gerar os CSRs usando vSphere Certificate Manager ou preparar o CSR por conta própria. O CSR deve atender aos requisitos listados anteriormente em Requisitos para todos os certificados importados .

  • Se você usar vSphere Certificate Manager, a ferramenta solicitará informações de certificado para cada usuário da solução. vSphere Certificate Manager armazena as informações em certool.cfg . Consulte Informações solicitadas pelo gerenciador de certificados .

    Observação: Você deve usar um valor diferente para Nome para cada usuário da solução. Um certificado gerado manualmente pode aparecer como CN (CN) em Assunto (Subject), dependendo da ferramenta usada.

Mais tarde, quando você substituir certificados de usuário de solução por certificados personalizados, forneça a cadeia de certificados de assinatura completa da CA de terceiros.

Para o usuário da solução vpxd-extension, você pode deixar o uso de chave estendido vazio ou usar a "autenticação de cliente TLS WWW".