用于 vRealize Operations 的证书必须符合特定要求。使用自定义证书是可选的,并不影响 vRealize Operations 的功能。您也可以在 vRealize Operations 中使用通配符证书。

自定义证书的要求

自定义 vRealize Operations 证书必须满足以下要求。

  • 证书文件必须包含终端(分支)服务器证书、私钥以及所有发出的证书(如果证书由一系列其他证书签名)。
  • 在该文件中,分支证书必须在证书顺序中处于第一个。分支证书之后的顺序无关紧要。
  • 在该文件中,所有证书和私钥都必须采用 PEM 格式。vRealize Operations 不支持采用 PFX、PKCS12、PKCS7 或其他格式的证书。
  • 在该文件中,所有证书和私钥都必须进行 PEM 编码。vRealize Operations 不支持采用 DER 编码的证书或私钥。

    PEM 编码是 base-64 ASCII,包含容易辨认的 BEGIN 和 END 标记,而 DER 是二进制格式。另外,文件扩展名可能与编码不匹配。例如,一般 .cer 扩展名可能用于 PEM 或 DER。若要验证编码格式,请使用文本编辑器检查证书文件。

  • 文件扩展名必须是 .pem
  • 私钥必须通过 RSA 或 DSA 算法生成。
  • 私钥可以使用密码短语加密。可以使用主节点配置向导或管理界面上载生成的证书。
  • vRealize Operations 版本中的 REST API 支持通过密码短语加密的私钥。请联系 VMware 技术支持人员获取详细信息。
  • 所有节点上的 vRealize Operations Web 服务器都具有相同证书文件,因此它必须对所有节点都有效。使证书对多个地址有效的一种方式是使用多个使用者备用名称 (Subject Alternative Name, SAN) 条目。
  • SHA1 证书会造成浏览器兼容性问题。因此,请确保已创建并且正在上载到 vRealize Operations 的所有证书都已使用 SHA2 或更新的版本签名。
  • vRealize Operations 支持自定义安全证书,密钥长度最多为 8192 位。当您尝试上载使用超过 8192 位的更强密钥生成的安全证书时,将显示错误。

有关详细信息,请参阅以下知识库文章: