证书要求取决于是使用 VMCA 作为中间 CA,还是使用自定义证书。对于计算机证书和解决方案用户证书,要求也有所不同。

在开始之前,请确保环境中所有节点的时间都已同步。

对所有已导入证书的要求

  • 密钥大小:2048 位或更大(PEM 编码)

  • PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。将密钥添加到 VECS 时,它们将转换为 PKCS8。

  • x509 版本 3

  • SubjectAltName 必须包含 DNS Name=machine_FQDN

  • CRT 格式

  • 包含以下密钥用法:数字签名、不可否认性、密钥加密。

  • 客户端身份验证和服务器身份验证不能存在于“增强型密钥用法”下。

VMCA 不支持以下证书。

  • 使用通配符的证书

  • 不建议使用的算法包括 md2WithRSAEncryption 1.2.840.113549.1.1.2、md5WithRSAEncryption 1.2.840.113549.1.1.4 和 sha1WithRSAEncryption 1.2.840.113549.1.1.5。

  • 不支持 OID 为 1.2.840.113549.1.1.10 的算法 RSASSA-PSS。

证书符合 RFC 2253 规范

证书必须符合 RFC 2253 规范。

如果不使用证书管理器生成 CSR,请确保 CSR 包括以下字段。

String

X.500 AttributeType

CN

commonName

L

localityName

ST

stateOrProvinceName

O

organizationName

OU

organizationalUnitName

C

countryName

STREET

streetAddress

DC

domainComponent

UID

userid

如果使用证书管理器生成 CSR,系统会提示您输入以下信息,然后证书管理器将对应的字段添加到 CSR 文件。

  • administrator@vsphere.local 用户的密码或者要连接到的 vCenter Single Sign-On 域的管理员的密码。

  • 如果您要在具有外部 Platform Services Controller 的环境中生成 CSR,则系统会提示您输入 Platform Services Controller 的主机名或 IP 地址。

  • 证书管理器存储在 certool.cfg 文件中的信息。对于大多数字段,可以接受默认值或提供特定于站点的值。计算机的 FQDN 为必需值。

    • administrator@vsphere.local 的密码。

    • 两个字母组成的国家/地区代码

    • 公司名称

    • 组织名称

    • 组织单位

    • 省/市/自治区

    • 地区

    • IP 地址(可选)

    • 电子邮件

    • 主机名,即要替换证书的计算机的完全限定域名。如果主机名与 FQDN 不匹配,则证书替换无法正确完成,且环境可能最终会处于不稳定状态。

    • Platform Services Controller 的 IP 地址(如果要在 vCenter Server(管理)节点上运行该命令)

使用 VMCA 作为中间 CA 时的要求

当您将 VMCA 用作中间 CA 时,证书必须满足以下要求。

证书类型

证书要求

Root 证书

  • 可以使用 vSphere 证书管理器创建 CSR。请参见使用 vSphere 证书管理器生成 CSR 并准备 root 证书(中间 CA)

  • 如果希望手动创建 CSR,则发送以进行签名的证书必须满足以下要求:

    • 密钥大小:2048 位或更大

    • PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8

    • x509 版本 3

    • 如果您当前使用的是自定义证书,对于 root 证书,CA 扩展必须设置为 true,并且证书签名必须在要求列表中。

    • 必须启用 CRL 签名。

    • 增强型密钥使用不得包含客户端身份验证或服务器身份验证。

    • 对证书链的长度没有明确限制。VMCA 使用 OpenSSL 默认设置,即 10 个证书。

    • 不支持包含通配符或多个 DNS 名称的证书。

    • 不能创建 VMCA 的附属 CA。

      请参见 VMware 知识库文章 2112009《在 vSphere 6.0 中创建 Microsoft 证书颁发机构模板以创建 SSL 证书》以获取使用 Microsoft 证书颁发机构的示例。

计算机 SSL 证书

可以使用 vSphere 证书管理器创建 CSR,或者手动创建 CSR。

如果您手动创建 CSR,它必须满足上面对所有已导入证书的要求下列出的要求。您还必须为主机指定 FQDN。

解决方案用户证书

可以使用 vSphere 证书管理器创建 CSR,或者手动创建 CSR。

注:

您必须为每个解决方案用户的名称使用不同的值。如果手动生成证书,可能会在主体下显示为 CN,具体取决于使用的工具。

如果使用 vSphere 证书管理器,该工具将提示您输入每个解决方案用户的证书信息。vSphere 证书管理器将信息存储在 certool.cfg 中。请参见证书管理器提示输入的信息

对自定义证书的要求

当您希望使用自定义证书时,这些证书必须满足以下要求。

证书类型

证书要求

计算机 SSL 证书

每个节点上的计算机 SSL 证书必须包含来自第三方或企业 CA 的单独证书。

  • 您可以使用 vSphere 证书管理器生成 CSR,或手动创建 CSR。CSR 必须满足上面对导入的所有证书的要求下列出的要求。

  • 如果使用 vSphere 证书管理器,该工具将提示您输入每个解决方案用户的证书信息。vSphere 证书管理器将信息存储在 certool.cfg 中。请参见证书管理器提示输入的信息

  • 对于大多数字段,可以接受默认值或提供特定于站点的值。计算机的 FQDN 为必需值。

解决方案用户证书

每个节点上的每个解决方案用户必须具有来自第三方或企业 CA 的单独证书。

  • 您可以使用 vSphere 证书管理器生成 CSR,或自己准备 CSR。CSR 必须满足上面对导入的所有证书的要求下列出的要求。

  • 如果使用 vSphere 证书管理器,该工具将提示您输入每个解决方案用户的证书信息。vSphere 证书管理器将信息存储在 certool.cfg 中。请参见证书管理器提示输入的信息

    注:

    您必须为每个解决方案用户的名称使用不同的值。如果手动生成证书,可能会在主体下显示为 CN,具体取决于使用的工具。

稍后将解决方案用户证书替换为自定义证书时,请提供第三方 CA 的完整签名证书链。

注:

不要在任何自定义证书中使用 CRL 分发点、授权信息访问或证书模板信息。