ESXi 证书签名请求的要求

如果要使用企业或第三方 CA 签名证书，必须向 CA 发送证书签名请求 (CSR)。

使用具有以下特性的 CSR：

密钥大小：2048 位或更大（PEM 编码）
PEM 格式。VMware 支持 PKCS8 和 PKCS1（RSA 密钥）。密钥添加到 VECS 后，会转换为 PKCS8。
x509 版本 3
对于根证书，CA 扩展必须设置为 true，并且 cert 签名必须在要求列表中。
SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
CRT 格式
包含以下密钥使用：数字签名、不可否认性、密钥加密
比当前时间早一天的开始时间。
CN（和 SubjectAltName）设置为 vCenter Server 清单中的 ESXi 主机的主机名（或 IP 地址）。

有关生成 CSR 的信息，请参见相应的 VMware 知识库文章，网址为 https://kb.vmware.com/s/article/2113926。