可以将 VMCA 根证书替换为在证书链中包括 VMCA 作为中间证书的 CA 签名证书。从今往后,VMCA 生成的所有证书都将包括完整链。

开始之前

  • 生成 CSR。

    • 可以使用 vSphere 证书管理器创建 CSR。请参见使用 vSphere 证书管理器生成 CSR 并准备 root 证书(中间 CA)

    • 如果希望手动创建 CSR,则发送以进行签名的证书必须满足以下要求:

      • 密钥大小:2048 位或更大

      • PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8

      • x509 版本 3

      • 如果您当前使用的是自定义证书,对于 root 证书,CA 扩展必须设置为 true,并且证书签名必须在要求列表中。

      • 必须启用 CRL 签名。

      • 增强型密钥使用不得包含客户端身份验证或服务器身份验证。

      • 对证书链的长度没有明确限制。VMCA 使用 OpenSSL 默认设置,即 10 个证书。

      • 不支持包含通配符或多个 DNS 名称的证书。

      • 不能创建 VMCA 的附属 CA。

        请参见 VMware 知识库文章 2112009《在 vSphere 6.0 中创建 Microsoft 证书颁发机构模板以创建 SSL 证书》以获取使用 Microsoft 证书颁发机构的示例。

  • 从第三方或企业 CA 收到证书后,将其与初始 VMCA 根证书组合在一起以生成整个链,其中 VMCA 根证书置于底部。请参见使用 vSphere 证书管理器生成 CSR 并准备 root 证书(中间 CA)

  • 收集所需的信息。

    • administrator@vsphere.local 的密码。

    • Root 的有效自定义证书(.crt 文件)。

    • 有效的自定义根密钥 (.key file)。

关于此任务

在嵌入式安装或外部 Platform Services Controller 中运行 vSphere 证书管理器以将 VMCA 根证书替换为自定义签名证书。

vSphere 证书管理器提示您输入以下信息:

过程

  1. 在嵌入式安装或外部 Platform Services Controller 上启动 vSphere 证书管理器,然后选择选项 2。
  2. 选择选项 2 开始证书替换并根据提示提供信息。
    1. 出现提示后指定根证书的完整路径。
    2. 如果是首次替换证书,则系统将提示您输入用于计算机 SSL 证书的信息。

      此信息包括计算机所需的 FQDN 并存储在 certool.cfg 文件中。

  3. 如果在多节点部署中替换根证书,则必须在所有 vCenter Server 上重新启动服务。
  4. 在多节点部署中,使用选项 3(“将计算机 SSL 证书替换为 VMCA 证书”)和 6(“将解决方案用户证书替换为 VMCA 证书”)在每个 vCenter Server 实例上重新生成所有证书。

    替换证书时,VMCA 会通过整个链进行签名。

下一步做什么

根据您的环境,您可能必须明确替换其他证书。