Bei der Zertifikatsignieranforderung (CSR, Certificate Signing Request) handelt es sich um einen verschlüsselten Text mit spezifischen Informationen wie Organisationsname, allgemeiner Name, Ort und Land/Region. Sie senden die CSR-Datei an eine Zertifizierungsstelle (CA, Certificate Authority) für ein Zertifikat der digitalen Identität.

Standardmäßig unterstützen die NSX-Benutzeroberfläche und die API für die CSR-Generierung das SAN-Feld nicht. Um eine CSR mit SAN zu erstellen, können Sie eine experimentelle API verwenden: /api/v1/trust-management/csrs-extended. Weitere Informationen finden Sie im Dokument Handbuch zu NSX-API.

Voraussetzungen

Um die Details der CSR-Datei auszufüllen, erfassen Sie die Informationen. Sie benötigen den vollqualifizierten Domänennamen (FQDN) des Servers, die organisatorische Einheit (OU), die Stadt, das Bundesland und das Land/die Region.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie System > Zertifikate aus.
  3. Klicken Sie auf die Registerkarte CSRs.
  4. Klicken Sie auf CSR generieren und wählen Sie in der Dropdown-Menü entweder CSR generieren oder CA CSR generieren aus.
  5. Geben Sie die vollständigen Details zur Datei ein.
    Option Beschreibung
    Allgemeiner Name

    Geben Sie den vollqualifizierten Domänennamen (FQDN) Ihres Servers ein.

    Beispiel: test.vmware.de.

    Name Weisen Sie Ihrem Zertifikat einen Namen zu.
    Organisationseinheit

    Geben Sie die Abteilung innerhalb Ihrer Organisation ein, die dieses Zertifikat verwaltet.

    Beispiel: IT-Abteilung.

    Name der Organisation

    Geben Sie Ihren Organisationsnamen mit den erforderlichen Suffixen ein.

    Beispiel: VMware Global Inc.

    Ort

    Geben Sie die Stadt ein, in der Ihre Organisation ihren Standort hat.

    Beispiel: Unterschleissheim.

    Bundesland

    Geben Sie das Bundesland ein, in dem Ihre Organisation ihren Standort hat.

    Beispiel: Bayern.

    Land/Region

    Fügen Sie den Ort Ihrer Organisation hinzu.

    Beispiel: Deutschland.

    Algorithmus

    Legen Sie den Verschlüsselungsalgorithmus für Ihr Zertifikat fest.

    • RSA-Verschlüsselung wird für digitale Signaturen und Verschlüsselung der Nachricht verwendet.
    • ECDSA-Verschlüsselung (Elliptic Curve Digital Signature Algorithm) – für EAL4+-Konformität verwendet. Die Leistung dieses Algorithmus ist effizienter als der RSA-Algorithmus.
    Schlüsselgröße
    Legen Sie die Schlüsselgröße des Verschlüsselungsalgorithmus in Bits fest.
    • Für RSA ist der Standardwert (2.048) ausreichend, solange Sie keine spezielle andere Schlüsselgröße benötigen. Weitere unterstützte Größen sind 3072 und 4096. Viele Zertifizierungsstellen verlangen einen Mindestwert von 2048. Je größer der Schlüssel, desto höher ist die Sicherheit, desto mehr wird aber auch die Leistung reduziert.
    • ECDSA verwendet in der Regel den AES (Advanced Encryption Standard) mit 256-Bit-Schlüssel im Galois/Counter-Modus (AES 256 GCM). Weitere Schlüsselgrößen umfassen 384 und 521 Bit.
    Beschreibung Geben Sie Informationen ein, mit denen sich dieses Zertifikat zu einem späteren Zeitpunkt einfach identifizieren lässt.
  6. Klicken Sie auf Speichern.
    Eine benutzerdefinierte Zertifikatsignieranforderung (CSR) wird als Link angezeigt.
  7. Wählen Sie die CSR aus und klicken Sie auf Aktionen, um eine der folgenden Optionen auszuwählen:
    • Löschen
    • Zertifikat für CSR importieren
    • Selbstsigniertes Zertifikat für CSR
    • CSR-PEM herunterladen

      Wenn Sie CSR-PEM herunterladen ausgewählt haben, können Sie die CSR-PEM-Datei für Ihr Archiv und für die Einreichung bei der Zertifizierungsstelle (CA, Certificate Authority) speichern. Mit dem Inhalt der CSR-Datei lässt sich eine Zertifikatanforderung an die Zertifizierungsstelle in Übereinstimmung mit dem CA-Registrierungsvorgang weiterleiten. Die anderen beiden Optionen finden Sie in den Themen Importieren eines Zertifikats für eine CSR und Erstellen eines selbstsignierten Zertifikats.

Ergebnisse

Die CA erstellt ein Serverzertifikat auf der Basis der Informationen in der CSR-Datei, signiert dieses mit ihrem privaten Schlüssel und sendet es Ihnen zu. Die CA sendet Ihnen auch ein Stammzertifizierungsstellenzertifikat zu.