您可以使用 vSphere Certificate Manager 生成证书签名请求 (CSR)。将这些 CSR 提交到企业 CA 或外部证书颁发机构进行签名。您可以通过受支持的不同证书替换流程使用签名证书。

  • 可以使用 vSphere Certificate Manager 创建 CSR。
  • 如果希望手动创建 CSR,则发送以进行签名的证书必须满足以下要求:
    • 密钥大小:2048 位(最小值)到 16384 位(最大值)(PEM 编码)
    • PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8。
    • x509 版本 3
    • 对于根证书,CA 扩展必须设置为 true,并且证书签名必须在要求列表中。例如:
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • 必须启用 CRL 签名。
    • 扩展密钥用法可以为空或包含服务器身份验证。
    • 对证书链的长度没有明确限制。VMCA 使用 OpenSSL 默认设置,即 10 个证书。
    • 不支持包含通配符或多个 DNS 名称的证书。
    • 不能创建 VMCA 的附属 CA。

      有关使用 Microsoft 证书颁发机构的示例,请参见 VMware 知识库文章《在 vSphere 6.x 中创建 Microsoft 证书颁发机构模板以创建 SSL 证书》,网址为 http://kb.vmware.com/kb/2112009

前提条件

vSphere Certificate Manager 会提示您输入信息。提示信息取决于您的环境以及要替换的证书类型。

生成任何 CSR 时,系统会提示您输入 [email protected] 用户的密码,或当前所连接的 vCenter Single Sign-On 域的管理员的密码。

过程

  1. 运行 vSphere Certificate Manager。
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 选择选项 2。
    首先,使用此选项生成 CSR,而不是替换证书。
  3. 按照提示提供密码和 vCenter Server的 IP 地址或主机名。
  4. 选择选项 1 以生成 CSR 并按提示提供信息。
    在此流程中,您还必须提供一个目录。Certificate Manager 会将要签名的证书( *.csr 文件)和相应密钥文件( *.key 文件)放入该目录中。
  5. 命名证书签名请求 (CSR) root_signing_cert.csr
  6. 将 CSR 发送到您的企业或外部 CA 进行签名,并命名生成的签名证书 root_signing_cert.cer
  7. 在文本编辑器中,按如下方式合并证书。 
    -----BEGIN CERTIFICATE-----
Signed VMCA root certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----
  8. 将文件保存为 root_signing_chain.cer

下一步做什么

将现有根证书替换为链式根证书。请参见将 VMCA 根证书替换为自定义签名证书并替换所有证书