要在您的环境中使用第三方证书时,必须确保这些证书满足要求。VMCA 置备的证书已满足这些要求。

  • 密钥大小:2048 位或更大(PEM 编码)

  • PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8

  • x509 版本 3

  • 对于 root 证书,CA 扩展必须设置为 true,并且 cert 签名必须在要求列表中。

  • SubjectAltName 必须包含 DNS Name=<machine_FQDN>

  • CRT 格式

  • 包含以下密钥使用:数字签名、不可否认性、密钥加密

  • 比当前时间早一天的开始时间

  • CN(和 SubjectAltName)设置为 vCenter Server 清单中的 ESXi 主机的主机名(或 IP 地址)。

注:

不建议使用的算法包括 md2WithRSAEncryption 1.2.840.113549.1.1.2、md5WithRSAEncryption 1.2.840.113549.1.1.4 和 sha1WithRSAEncryption 1.2.840.113549.1.1.5。不支持 OID 为 1.2.840.113549.1.1.10 的算法 RSASSA-PSS。