您可以使用 vSphere 证书管理器生成证书签名请求 (CSR)。将这些 CSR 提交到企业 CA 或外部证书颁发机构进行签名。您可以通过受支持的不同证书替换流程使用签名证书。

  • 可以使用 vSphere 证书管理器创建 CSR。
  • 如果希望手动创建 CSR,则发送以进行签名的证书必须满足以下要求:
    • 密钥大小:2048 位或更大
    • PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8。
    • x509 版本 3
    • 如果您当前使用的是自定义证书,对于根证书,CA 扩展必须设置为 true,并且证书签名必须在要求列表中。
    • 必须启用 CRL 签名。
    • “增强型密钥用法”可以为空或包含服务器身份验证。
    • 对证书链的长度没有明确限制。VMCA 使用 OpenSSL 默认设置,即 10 个证书。
    • 不支持包含通配符或多个 DNS 名称的证书。
    • 不能创建 VMCA 的附属 CA。

      请参见 http://kb.vmware.com/kb/2112009 中的 VMware 知识库文章,《在 vSphere 6.0 中创建 Microsoft 证书颁发机构模板以创建 SSL 证书》以获取使用 Microsoft 证书颁发机构的示例。

前提条件

vSphere 证书管理器会提示您输入信息。提示信息取决于您的环境以及要替换的证书类型。

生成任何 CSR 时,系统会提示您输入 [email protected] 用户的密码,或当前所连接的 vCenter Single Sign-On 域的管理员的密码。

过程

  1. 运行 vSphere 证书管理器。
    操作系统 命令
    Windows 
    cd "C:\Program Files\VMware\vCenter Server\vmcad"
certificate-manager
    Linux /usr/lib/vmware-vmca/bin/certificate-manager
  2. 选择选项 2。
    首先,使用此选项生成 CSR,而不是替换证书。
  3. 按照提示提供密码和 Platform Services Controller 的 IP 地址或主机名。
  4. 选择选项 1 以生成 CSR 并按提示提供信息。
    在此流程中,您还必须提供一个目录。证书管理器会将要签名的证书( *.csr 文件)和相应密钥文件( *.key 文件)放入该目录中。
  5. 命名证书签名请求 (CSR) root_signing_cert.csr
  6. 将 CSR 发送到您的企业或外部 CA 进行签名,并命名生成的签名证书 root_signing_cert.cer
  7. 在文本编辑器中,按如下方式合并证书。 
    -----BEGIN CERTIFICATE-----
Signed VMCA root certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----
  8. 将文件保存为 root_signing_chain.cer

下一步做什么

将现有根证书替换为链式根证书。请参见将 VMCA 根证书替换为自定义签名证书并替换所有证书