vSphere Requisitos de certificado para diferentes caminhos de solução

Os requisitos de certificado dependem de você usar a VMware Certificate Authority (VMCA) como uma autoridade de certificação intermediária ou usar certificados personalizados. Os requisitos também são diferentes para certificados de máquina.

Antes de começar a alterar os certificados, certifique-se de que todos os nós em seu ambiente vSphere estejam sincronizados por hora.

Observação: vSphere implanta apenas certificados RSA para autenticação do servidor e não é compatível com a geração de certificados ECDSA. vSphere verifica os certificados ECDSA apresentados por outros servidores. Por exemplo, se vSphere se conectar a um servidor syslog e o servidor syslog tiver um certificado ECDSA, vSphere oferecerá suporte à verificação desse certificado.

Requisitos para todos os certificados vSphere importados

Tamanho da chave: 2.048 bits (mínimo) a 16.384 bits (máximo) (codificado por PEM)
Observação: No vSphere 8.0, você só pode gerar CSRs com um comprimento de chave mínimo de 3072 bits ao usar o vSphere Client ou o vSphere Certificate Manager. vCenter Server ainda aceita certificados personalizados com um comprimento de chave de 2.048 bits. No vSphere 8.0 Atualização 1, você pode usar o vSphere Client para gerar um CSR com um comprimento de chave de 2.048 bits.

Observação: O certificado FIPS de vSphere só valida tamanhos de chave RSA de 2.048 bits e 3.072 bits.
Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando você adiciona chaves ao VECS, elas são convertidas em PKCS8.
x509 versão 3
SubjectAltName deve conter Nome DNS=machine_FQDN
Formato CRT
Contém os seguintes Usos de Chave: Assinatura Digital, Criptografia de Chave.
Isentando o certificado de usuário da solução vpxd-extension, o Uso Estendido de Chave pode estar vazio ou conter Autenticação do Servidor.

vSphere não é compatível com os certificados a seguir.

Certificados com curingas.
Não há suporte para os algoritmos md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 e sha1WithRSAEncryption.
Ao criar um certificado SSL de máquina personalizado para vCenter Server, a Autenticação do Servidor e a Autenticação do Cliente não são suportadas e devem ser removidas ao usar os modelos de Autoridade de Certificação Microsoft (CA). Para obter mais informações, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/2112009.

vSphere Conformidade do certificado com a RFC 2253

O certificado deve estar em conformidade com a RFC 2253.

Se você não gerar CSRs usando vSphere Certificate Manager, certifique-se de que a CSR inclua os seguintes campos.

String	X.500 AttributeType
CN	commonName
E	localityName
ST	stateOrProvinceName
O	organizationName
UO	organizationalUnitName
C	countryName
RUA	streetAddress
DC	domainComponent
UID	userid

Se você gerar CSRs usando vSphere Certificate Manager, serão solicitadas as seguintes informações e vSphere Certificate Manager adicionará os campos correspondentes ao arquivo CSR.

A senha do usuário [email protected] ou do administrador do domínio vCenter Single Sign-On ao qual você está se conectando.
Informações que vSphere Certificate Manager armazena no arquivo certool.cfg. Para a maioria dos campos, você pode aceitar o padrão ou fornecer valores específicos do site. O FQDN da máquina é necessário.
- Senha para [email protected]
- Código de país de duas letras
- Nome da empresa
- Nome da organização
- Unidade organizacional
- Estado
- Localidade
- Endereço IP (opcional)
- E-mail
- Nome do host, ou seja, o nome de domínio totalmente qualificado da máquina para a qual você deseja substituir o certificado. Se o nome do host não corresponder ao FQDN, a substituição do certificado não será concluída corretamente e seu ambiente poderá ficar em um estado instável.
- Endereço IP do nó vCenter Server no qual você executa vSphere Certificate Manager.

Observação: O campo UO (organizationalUnitName) não é mais obrigatório.

Requisitos de certificado ao usar a VMCA como uma autoridade de certificação intermediária

Quando você usa a VMCA como uma CA intermediária, os certificados devem atender aos seguintes requisitos.


Tipo de certificado	Requisitos do certificado
Certificado raiz	Você pode usar vSphere Certificate Manager para criar a CSR. Consulte Gerar CSR usando o Gerenciador de certificados e preparar o certificado raiz (CA intermediária). Se você preferir criar a CSR manualmente, o certificado enviado para ser assinado deverá atender aos seguintes requisitos. Tamanho da chave: 2.048 bits (mínimo) a 16.384 bits (máximo) (codificado por PEM) Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando chaves são adicionadas ao VECS, elas são convertidas em PKCS8. x509 versão 3 A extensão de CA deve ser definida como true para certificados raiz, e o sinal de certificado deve estar na lista de requisitos. Por exemplo: basicConstraints = critical,CA:true keyUsage = critical,digitalSignature,keyCertSign A assinatura da CRL deve estar habilitada. O Uso Estendido de Chave pode estar vazio ou conter Autenticação do Servidor. Nenhum limite explícito para o comprimento da cadeia de certificados. A VMCA usa o padrão OpenSSL, que é de 10 certificados. Certificados com caracteres curinga ou com mais de um nome DNS não são compatíveis. Você não pode criar ACs subsidiárias da VMCA. Consulte o artigo da base de conhecimento VMware em http://kb.vmware.com/kb/2112009, Criando um modelo de autoridade de certificação da Microsoft para a criação de certificado SSL no vSphere 6.x, para obter um exemplo usando a Autoridade de Certificação Microsoft.
Certificado SSL da máquina	Você pode usar vSphere Certificate Manager para criar a CSR ou criar a CSR manualmente. Se você criar a CSR manualmente, ela deverá atender aos requisitos listados anteriormente em Requisitos para todos os certificados vSphere importados. Você também precisa especificar o FQDN para o host.
Certificado de usuário da solução	Você pode usar vSphere Certificate Manager para criar a CSR ou criar a CSR manualmente. Observação: Você deve usar um valor diferente para Nome para cada usuário da solução. Se você gerar o certificado manualmente, ele poderá aparecer como CN em Assunto (Subject), dependendo da ferramenta usada. Se você usar vSphere Certificate Manager, a ferramenta solicitará informações de certificado para cada usuário da solução. vSphere Certificate Manager armazena as informações em certool.cfg. Para o usuário da solução vpxd-extension, você pode deixar o Extended Key Usage vazio ou usar "Autenticação de cliente TLS WWW".

Requisitos ao usar certificados personalizados

Quando você quiser usar certificados personalizados, os certificados devem atender aos seguintes requisitos.


Tipo de certificado	Requisitos do certificado
Certificado SSL da máquina	O certificado SSL da máquina em cada nó deve ter um certificado separado da sua autoridade de certificação corporativa ou de terceiros. Você pode gerar a CSR usando o vSphere Client ou o vSphere Certificate Manager ou criar a CSR manualmente. O CSR deve atender aos requisitos listados anteriormente em Requisitos para todos os certificados vSphere importados. Para a maioria dos campos, você pode aceitar o padrão ou fornecer valores específicos do site. O FQDN da máquina é necessário.
Certificado de usuário da solução	Cada usuário da solução em cada nó deve ter um certificado separado da sua autoridade de certificação corporativa ou de terceiros. Você pode gerar as CSRs usando vSphere Certificate Manager ou preparar a CSR você mesmo. O CSR deve atender aos requisitos listados anteriormente em Requisitos para todos os certificados vSphere importados. Se você usar vSphere Certificate Manager, o utilitário solicitará informações de certificado para cada usuário da solução. vSphere Certificate Manager armazena as informações em certool.cfg. Observação: Você deve usar um valor diferente para Nome para cada usuário da solução. Um certificado gerado manualmente pode aparecer como CN em Assunto (Subject), dependendo da ferramenta que você usa. Mais tarde, quando você substituir certificados de usuário da solução por certificados personalizados, forneça a cadeia de certificados de assinatura completa da autoridade de certificação de terceiros. Para o usuário da solução vpxd-extension, você pode deixar o Extended Key Usage vazio ou usar "Autenticação de cliente TLS WWW".