证书要求取决于是使用 VMCA 作为中间 CA,还是使用自定义证书。对于计算机证书和解决方案用户证书,要求也有所不同。
在开始之前,请确保环境中所有节点的时间都已同步。
对所有已导入证书的要求
- 密钥大小:2048 位或更大(PEM 编码)
- PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。将密钥添加到 VECS 时,它们将转换为 PKCS8。
- x509 版本 3
- SubjectAltName 必须包含 DNS Name=machine_FQDN
- CRT 格式
- 包含以下密钥用法:数字签名、密钥加密。
- “增强型密钥用法”可以为空或包含服务器身份验证。
- 使用通配符的证书。
- 不建议使用的算法包括 md2WithRSAEncryption 1.2.840.113549.1.1.2、md5WithRSAEncryption 1.2.840.113549.1.1.4 和 sha1WithRSAEncryption 1.2.840.113549.1.1.5。
- 不支持 OID 为 1.2.840.113549.1.1.10 的算法 RSASSA-PSS。
证书符合 RFC 2253 规范
证书必须符合 RFC 2253 规范。
如果不使用 Certificate Manager 生成 CSR,请确保 CSR 包括以下字段。
| String | X.500 AttributeType |
|---|---|
| CN | commonName |
| L | localityName |
| ST | stateOrProvinceName |
| O | organizationName |
| OU | organizationalUnitName |
| C | countryName |
| STREET | streetAddress |
| DC | domainComponent |
| UID | userid |
- [email protected] 用户的密码或者要连接到的 vCenter Single Sign-On 域的管理员的密码。
- 如果您要在具有外部 Platform Services Controller 的环境中生成 CSR,则系统会提示您输入 Platform Services Controller 的主机名或 IP 地址。
- Certificate Manager 存储在 certool.cfg 文件中的信息。对于大多数字段,可以接受默认值或提供特定于站点的值。计算机的 FQDN 为必需值。
- [email protected] 的密码。
- 两个字母组成的国家/地区代码
- 公司名称
- 组织名称
- 组织单位
- 省/市/自治区
- 地区
- IP 地址(可选)
- 电子邮件
- 主机名,即要替换证书的计算机的完全限定域名。如果主机名与 FQDN 不匹配,则证书替换无法正确完成,且环境可能最终会处于不稳定状态。
- Platform Services Controller的 IP 地址(如果要在 vCenter Server(管理)节点上运行该命令)
使用 VMCA 作为中间 CA 时的要求
| 证书类型 | 证书要求 |
|---|---|
| 根证书 |
|
| 计算机 SSL 证书 | 可以使用 vSphere Certificate Manager 创建 CSR,或者手动创建 CSR。 如果手动创建 CSR,它必须满足前面在对所有已导入证书的要求下列出的要求。您还必须为主机指定 FQDN。 |
| 解决方案用户证书 | 可以使用 vSphere Certificate Manager 创建 CSR,或者手动创建 CSR。
注: 您必须为每个解决方案用户的名称使用不同的值。如果手动生成证书,可能会在
主体下显示为
CN,具体取决于使用的工具。
如果使用 vSphere Certificate Manager,该工具将提示您输入每个解决方案用户的证书信息。vSphere Certificate Manager 将信息存储在 certool.cfg 中。请参见Certificate Manager 提示输入的信息。 |
对自定义证书的要求
| 证书类型 | 证书要求 |
|---|---|
| 计算机 SSL 证书 | 每个节点上的计算机 SSL 证书必须包含来自第三方或企业 CA 的单独证书。
|
| 解决方案用户证书 | 每个节点上的每个解决方案用户必须具有来自第三方或企业 CA 的单独证书。
稍后将解决方案用户证书替换为自定义证书时,请提供第三方 CA 的完整签名证书链。 |
