用于 vRealize Operations Manager 的证书必须符合特定要求。使用自定义证书是可选的,并不影响 vRealize Operations Manager 的功能。您也可以在 vRealize Operations Manager 中使用通配符证书。
自定义证书的要求
自定义 vRealize Operations Manager 证书必须满足以下要求。
- 证书文件必须包含终端(分支)服务器证书、私钥以及所有发出的证书(如果证书由一系列其他证书签名)。
- 在该文件中,分支证书必须在证书顺序中处于第一个。分支证书之后的顺序无关紧要。
- 在该文件中,所有证书和私钥都必须采用 PEM 格式。vRealize Operations Manager 不支持采用 PFX、PKCS12、PKCS7 或其他格式的证书。
- 在该文件中,所有证书和私钥都必须进行 PEM 编码。vRealize Operations Manager 不支持采用 DER 编码的证书或私钥。
PEM 编码是 base-64 ASCII,包含容易辨认的 BEGIN 和 END 标记,而 DER 是二进制格式。另外,文件扩展名可能与编码不匹配。例如,一般 .cer 扩展名可能用于 PEM 或 DER。若要验证编码格式,请使用文本编辑器检查证书文件。
- 文件扩展名必须是 .pem。
- 私钥必须通过 RSA 或 DSA 算法生成。
- 私钥可以使用密码短语加密。可以使用主节点配置向导或管理界面上载生成的证书。
- 此 vRealize Operations Manager 版本中的 REST API 支持通过密码短语加密的私钥。请联系 VMware 技术支持人员获取详细信息。
- 所有节点上的 vRealize Operations Manager Web 服务器都具有相同证书文件,因此它必须对所有节点都有效。使证书对多个地址有效的一种方式是使用多个使用者备用名称 (Subject Alternative Name, SAN) 条目。
- SHA1 证书会造成浏览器兼容性问题。因此,请确保已创建并且正在上载到 vRealize Operations Manager 的所有证书都已使用 SHA2 或更新的版本签名。
- vRealize Operations Manager 支持自定义安全证书,密钥长度最多为 8192 位。当您尝试上载使用超过 8192 位的更强密钥生成的安全证书时,将显示错误。
有关详细信息,请参阅以下知识库文章: