如果要使用企业或第三方 CA 签名的证书或辅助 CA 签名的证书,必须向 CA 发送证书签名请求 (CSR)。
使用具有以下特性的 CSR:
- 密钥大小:2048 位(最小值)到 16384 位(最大值)(PEM 编码)
- PEM 格式。VMware 支持 PKCS8 和 PKCS1(RSA 密钥)。密钥添加到 VECS 后,会转换为 PKCS8。
- x509 版本 3
- 对于根证书,CA 扩展必须设置为 true,并且 cert 签名必须在要求列表中。
- SubjectAltName 必须包含 DNS Name=<machine_FQDN>。
- CRT 格式
- 包含以下密钥使用:数字签名、不可否认性、密钥加密
- 比当前时间早一天的开始时间。
- CN(和 SubjectAltName)设置为 vCenter Server清单中的 ESXi 主机的主机名(或 IP 地址)。
vSphere 不支持以下证书。
- 使用通配符的证书。
- 不支持算法 md2WithRSAEncryption、md5WithRSAEncryption、RSASSA-PSS、dsaWithSHA1、ecdsa_with_SHA1 和 sha1WithRSAEncryption。
有关生成 CSR 的信息,请参见相应的 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/2113926。