将 VMCA 证书替换为自定义证书的第一步是生成 CSR,发送要签名的 CSR。然后,将签名证书作为根证书添加到 VMCA。
可以使用证书管理器实用程序或其他工具生成 CSR。CSR 必须满足以下要求:
- 密钥大小:2048 位或更大
- PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8。
- x509 版本 3
- 如果您当前使用的是自定义证书,对于根证书,CA 扩展必须设置为 true,并且证书签名必须在要求列表中。
- 必须启用 CRL 签名。
- “增强型密钥用法”可以为空或包含服务器身份验证。
- 对证书链的长度没有明确限制。VMCA 使用 OpenSSL 默认设置,即 10 个证书。
- 不支持包含通配符或多个 DNS 名称的证书。
- 不能创建 VMCA 的附属 CA。
请参见 http://kb.vmware.com/kb/2112009 中的 VMware 知识库文章,《在 vSphere 6.0 中创建 Microsoft 证书颁发机构模板以创建 SSL 证书》以获取使用 Microsoft 证书颁发机构的示例。
替换根证书时,VMCA 会验证以下证书属性:
- 密钥大小:2048 位或更多
- 密钥使用:证书签名
- 基本限制:主体类型 CA
过程
示例: 替换根证书
使用 certool 命令和 --rootca选项将 VMCA 根证书替换为自定义 CA 根证书。
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\certool" --rootca --cert=C:\custom-certs\root.pem -–privkey=C:\custom-certs\root.key
运行此命令时,会执行以下操作:
- 将新的自定义根证书添加到文件系统中的证书位置。
- 将自定义根证书附加到 VECS 中的 TRUSTED_ROOTS 存储中。
- 将自定义根证书添加到 vmdir。
下一步做什么
如果公司策略需要,可以从证书存储中移除原始的 VMCA 根证书。如果执行此操作,则必须替换 vCenter Single Sign-On 签名证书。请参见刷新 Security Token Service 证书。