您可以使用 vSphere 证书管理器生成证书签名请求 (CSR)。将这些 CSR 提交到企业 CA 或外部证书颁发机构进行签名。您可以通过受支持的不同证书替换流程使用签名证书。

开始之前

vSphere 证书管理器会提示您输入信息。提示信息取决于您的环境以及要替换的证书类型。

生成任何 CSR 时,系统会提示您输入 administrator@vsphere.local 用户的密码,或当前所连接的 vCenter Single Sign-On 域的管理员的密码。

关于此任务

  • 可以使用 vSphere 证书管理器创建 CSR。

  • 如果希望手动创建 CSR,则发送以进行签名的证书必须满足以下要求:

    • 密钥大小:2048 位或更大

    • PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8

    • x509 版本 3

    • 如果您当前使用的是自定义证书,对于 root 证书,CA 扩展必须设置为 true,并且证书签名必须在要求列表中。

    • 必须启用 CRL 签名。

    • 增强型密钥使用不得包含客户端身份验证或服务器身份验证。

    • 对证书链的长度没有明确限制。VMCA 使用 OpenSSL 默认设置,即 10 个证书。

    • 不支持包含通配符或多个 DNS 名称的证书。

    • 不能创建 VMCA 的附属 CA。

      请参见 VMware 知识库文章 2112009《在 vSphere 6.0 中创建 Microsoft 证书颁发机构模板以创建 SSL 证书》以获取使用 Microsoft 证书颁发机构的示例。

过程

  1. 启动 vSphere 证书管理器并选择选项 2。

    首先,使用此选项生成 CSR,而不是替换证书。

  2. 按照提示提供密码和 Platform Services Controller 的 IP 地址或主机名。
  3. 选择选项 1 以生成 CSR 并按提示提供信息。

    在此流程中,您还必须提供一个目录。证书管理器会将要签名的证书(*.csr 文件)和相应密钥文件(*.key 文件)放入该目录中。

  4. 将证书发送到企业或外部 CA 进行签名,并将文件命名为 root_signing_cert.cer
  5. 在文本编辑器中,按如下方式合并证书。
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  6. 将文件保存为 root_signing_chain.cer

下一步做什么

将现有 root 证书替换为链式 root 证书。请参见将 VMCA 根证书替换为自定义签名证书并替换所有证书