许多公司仅要求替换可从外部进行访问的服务的证书。但是,Certificate Manager 也支持替换解决方案用户证书。解决方案用户是服务的集合,例如,与 vSphere Client 关联的所有服务。
当提示您输入解决方案用户证书时,请提供第三方 CA 的完整签名证书链。
格式看起去与下面类似。
-----BEGIN CERTIFICATE----- Signing certificate -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- CA intermediate certificates -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Root certificate of enterprise or external CA -----END CERTIFICATE-----
前提条件
开始之前,您需要为环境中的每个计算机生成一个 CSR。您可以使用 vSphere Certificate Manager 生成 CSR 或明确生成 CSR。
- 要使用 vSphere Certificate Manager 生成 CSR,请参见使用 vSphere Certificate Manager 生成证书签名请求(自定义证书)。
- 从第三方或企业 CA 为每个节点上的每个解决方案用户请求一个证书。您可以使用 vSphere Certificate Manager 生成 CSR 或自己准备 CSR。CSR 必须满足以下要求:
- 密钥大小:2048 位(最小值)到 16384 位(最大值)(PEM 编码)
- CRT 格式
- x509 版本 3
- SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
-
每个解决方案用户证书必须具有不同的 Subject。例如,考虑包含解决方案用户名(如 vpxd)或其他唯一标识符。
- 包含以下密钥用法:数字签名、密钥加密。
请参见位于 http://kb.vmware.com/kb/2112014 的 VMware 知识库文章,了解如何从 Microsoft 证书颁发机构获取 vSphere 证书。