为 NSX Manager 获取 SSL 证书的方法之一是使用内置 CSR 生成器。

此方法的局限是 CSR 无法包含诸如主题备用名称 (SAN) 等扩展属性。如果要包含扩展属性,您必须使用其他 CSR 生成工具。如果您使用的是其他 CSR 生成工具,请跳过此过程。

过程

  1. 登录到 NSX Manager 虚拟设备。
  2. 单击管理设备设置 (Manage Appliance Settings)
  3. 在“设置”面板中,单击 SSL 证书 (SSL Certificates)
  4. 单击生成 CSR (Generate CSR)
  5. 通过填充以下字段填写表单:
    选项 操作
    密钥大小 (Key Size) 选择在选定算法中使用的密钥长度。
    公用名称 (Common Name) 键入 NSX Manager 的 IP 地址或完全限定域名 (FQDN)。VMware 建议您输入 FQDN。
    组织单位 (Organization Unit) 输入订购该证书的公司部门。
    组织名称 (Organization Name) 输入公司的法定全称。
    城市名称 (City Name) 输入公司所在城市的全称。
    省/自治区/直辖市名称 (State Name) 输入公司所在省/市/自治区的全称。
    国家/地区代码 (Country Code) 输入代表您所在国家/地区的两位数代码。例如,美国的代码为 US
  6. 单击确定 (OK)
  7. 将 CSR 发送给 CA 进行签名。
    1. 通过单击下载 CSR (Download CSR) 下载生成的请求。
      通过使用此方法,NSX Manager 永远不会丢失私钥。
    2. 将此请求提交到 CA。
    3. 获取已签名证书和根 CA 证书以及任何 PEM 格式的中间 CA 证书。
    4. 使用以下 OpenSSL 命令将 CER/DER 格式的证书转换为 PEM 格式:
      openssl x509 -inform der -in Cert.cer -out 4-nsx_signed.pem
    5. 将所有证书(服务器证书、中间证书和根证书)联接在文本文件中。
    6. 在 NSX Manager UI 中,单击导入 (Import),然后浏览至包含所有证书的文本文件。
    7. 导入成功后,服务器证书和所有 CA 证书将显示在“SSL 证书”页面上。

后续步骤

将已签名 SSL 证书导入到 NSX Manager 中。