证书签名请求 (CSR) 是包含特定信息的加密文本,例如,组织名称、公用名称、城市以及国家/地区。您可以将 CSR 文件发送到证书颁发机构 (CA) 以申请数字身份证书。

默认情况下,NSX CSR 生成 UI 和 API 不支持 SAN 字段。要使用 SAN 创建 CSR,可以使用实验 API /api/v1/trust-management/csrs-extended。有关详细信息,请参见NSX API 指南

前提条件

要填写 CSR 文件详细信息,请收集信息。您必须知道服务器的 FQDN、组织单位、组织、城市、省/直辖市/自治区以及国家/地区。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择系统 > 证书
  3. 单击 CSR 选项卡。
  4. 单击生成 CSR,然后从下拉菜单中选择生成 CSR生成 CA CSR
  5. 填写文件详细信息。
    选项 描述
    公用名称

    输入服务器的完全限定域名 (Fully Qualified Domain Name, FQDN)。

    例如,test.vmware.com。

    名称 指定证书的名称。
    组织单位

    输入组织中处理该证书的部门。

    例如,IT 部门。

    组织名称

    输入具有相应后缀的组织名称。

    例如,VMware Inc.。

    城市

    添加组织所在的城市。

    例如,帕罗奥多。

    州/省

    添加组织所在的省/直辖市/自治区。

    例如,加利福尼亚。

    国家/地区

    添加您的组织位置。

    例如,美国 (US)。

    算法

    为证书设置加密算法。

    • RSA 加密 - 用于消息的数字签名和加密。
    • ECDSA(椭圆曲线数字签名算法)加密 - 用于确保 EAL4+ 合规性。此算法的性能比 RSA 算法更高效。
    密钥大小
    设置加密算法的密钥位大小。
    • 对于 RSA,使用默认值 2048 就足够了,除非您明确需要使用不同的密钥大小。其他支持的大小为 3072 和 4096。很多 CA 要求最小值为 2048。较大的密钥更安全,但对性能的影响更大。
    • ECDSA 通常在 Galois/计数器模式中使用具有 256 位密钥的高级加密标准 (AES 256 GCM)。其他密钥大小包括 384 位和 521 位。
    描述 输入特定的详细信息以帮助您以后识别该证书。
  6. 单击保存
    自定义 CSR 将显示为一个链接。
  7. 选择 CSR,然后单击操作以选择以下选项之一:
    • 删除
    • 为 CSR 导入证书
    • CSR 的自签名证书
    • 下载 CSR PEM

      如果选择下载 CSR PEM,您可以保存 CSR PEM 文件以进行存档以及提交给 CA。使用 CSR 文件内容按照 CA 注册过程向 CA 提交证书请求。对于另外两个选项,请参阅为 CSR 导入证书创建自签名证书主题。

结果

CA 根据 CSR 文件中的信息创建一个服务器证书,使用私钥对其进行签名,然后向您发送该证书。CA 还会向您发送根 CA 证书。