Die Zertifikatsanforderungen sind abhängig davon, ob Sie VMCA als Zwischenzertifizierungsstelle oder aber benutzerdefinierte Zertifikate verwenden. Die Anforderungen variieren auch für Maschinen- und Lösungsbenutzerzertifikate.

Bevor Sie beginnen müssen Sie sicherstellen, dass für alle Knoten in Ihrer Umgebung die Uhrzeit synchronisiert ist.

Anforderungen für alle importierten Zertifikate

  • Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)

  • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Schlüssel, die Sie zu VECS hinzufügen, werden in PKCS8 konvertiert.

  • x509 Version 3

  • „SubjectAltName“ muss DNS-Name=Maschinen-FQDN enthalten

  • CRT-Format

  • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung.

  • Client- und Serverauthentifizierung sind für „Erweiterte Schlüsselverwendung“ nicht zulässig.

Die folgenden Zertifikate werden von VMCA nicht unterstützt.

  • Zertifikate mit Platzhalterzeichen

  • Die Algorithmen md2WithRSAEncryption 1.2.840.113549.1.1.2, md5WithRSAEncryption 1.2.840.113549.1.1.4 und sha1WithRSAEncryption 1.2.840.113549.1.1.5 werden nicht empfohlen.

  • Der Algorithmus RSASSA-PSS mit OID 1.2.840.113549.1.1.10 wird nicht unterstützt.

Einhaltung von RFC 2253 bei Zertifikaten

Das Zertifikat muss RFC 2253 einhalten.

Wenn Sie Zertifikatssignieranforderungen (Certificate Signing Requests, CSRs) nicht mithilfe von Certificate Manager generieren, stellen Sie sicher, dass die CSR die folgenden Felder enthält.

String

Attributtyp X.500

CN

commonName

N

localityName

ST

stateOrProvinceName

O

organizationName

OU

organizationalUnitName

C

countryName

STREET

streetAddress

DC

domainComponent

UID

userid

Wenn Sie CSRs mithilfe von Certificate Manager generieren, werden Sie zur Eingabe der folgenden Informationen aufgefordert, und Certificate Manager fügt in der CSR-Datei die entsprechenden Felder hinzu.

  • Das Kennwort für den Benutzer „administrator@vsphere.local“ oder für den Administrator der vCenter Single Sign On-Domäne, mit der Sie eine Verbindung herstellen.

  • Wenn Sie eine Zertifikatssignieranforderung in einer Umgebung mit einem externen Platform Services Controller generieren, werden Sie zur Eingabe des Hostnamens oder der IP-Adresse für den Platform Services Controller aufgefordert.

  • Informationen, die Certificate Manager in der Datei certool.cfg speichert. Für die meisten Felder können Sie den Standardwert übernehmen oder aber standortspezifische Werte eingeben. Der FQDN der Maschine ist erforderlich.

    • Kennwort für „administrator@vsphere.local“.

    • Aus zwei Buchstaben bestehender Ländercode

    • Name des Unternehmens

    • Organisationsname

    • Organisationseinheit

    • Zustand

    • Ort

    • IP-Adresse (optional)

    • E-Mail

    • Hostname, d. h., der vollqualifizierte Domänenname der Maschine, für die Sie das Zertifikat ersetzen möchten. Wenn der Hostname nicht mit dem FQDN übereinstimmt, wird die Zertifikatsersetzung nicht ordnungsgemäß abgeschlossen und Ihre Umgebung weist möglicherweise einen instabilen Status auf.

    • IP-Adresse des Platform Services Controller, wenn Sie den Befehl auf einem vCenter Server-Verwaltungsknoten ausführen

Anforderungen für die Verwendung von VMCA als Zwischenzertifizierungsstelle

Wenn Sie VMCA als Zwischenzertifizierungsstelle verwenden, müssen die Zertifikate die folgenden Anforderungen erfüllen.

Zertifikatstyp

Zertifikatsanforderungen

Rootzertifikat

  • Sie können vSphere Certificate Manager zum Generieren der CSR verwenden. Siehe Generieren von CSRs mit vSphere Certificate Manager und Vorbereiten des Rootzertifikats (Zwischenzertifizierungsstelle).

  • Wenn Sie die CSR manuell erstellen möchten, muss das Zertifikat, das Sie zum Signieren senden, die folgenden Anforderungen erfüllen.

    • Schlüsselgröße: mindestens 2.048 Bit

    • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.

    • x509 Version 3

    • Wenn Sie benutzerdefinierte Zertifikate verwenden, muss die Zertifizierungsstellenerweiterung für Stammzertifikate auf „true“ festgelegt werden, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.

    • CRL-Signatur muss aktiviert sein.

    • „Erweiterte Schlüsselverwendung“ darf keine Clientauthentifizierung oder Serverauthentifizierung enthalten.

    • Keine explizite Beschränkung der Zertifikatskettenlänge. VMCA verwendet den OpenSSL-Standardwert von 10 Zertifikaten.

    • Zertifikate mit Platzhalterzeichen oder mehr als einem DNS-Namen werden nicht unterstützt.

    • Untergeordnete Zertifizierungsstellen von VMCA können nicht erstellt werden.

      Im VMware Knowledge Base-Artikel 2112009, „Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0“, finden Sie ein Beispiel für die Verwendung der Microsoft-Zertifizierungsstelle.

Maschinen-SSL-Zertifikat

Sie können die CSR mithilfe des vSphere Certificate Manager oder manuell erstellen.

Wenn Sie die CSR manuell erstellen, muss sie die weiter oben unter Anforderungen für alle importierten Zertifikate aufgeführten Anforderungen erfüllen. Darüber hinaus müssen Sie den FQDN für den Host angeben.

Lösungsbenutzerzertifikat

Sie können die CSR mithilfe des vSphere Certificate Manager oder manuell erstellen.

Anmerkung:

Sie müssen für jeden Lösungsbenutzer einen eindeutigen Wert für den Namen verwenden. Wenn Sie das Zertifikat manuell generieren, wird es in Abhängigkeit vom verwendeten Tool möglicherweise unter Betreff als CN angezeigt.

Wenn Sie vSphere Certificate Manager verwenden, werden Sie für jeden Lösungsbenutzer zur Eingabe von Zertifikatinformationen aufgefordert. vSphere Certificate Manager speichert die Informationen in der Datei certool.cfg. Weitere Informationen hierzu finden Sie unter Von Certificate Manager angeforderte Informationen.

Anforderungen für benutzerdefinierte Zertifikate

Wenn Sie benutzerdefinierte Zertifikate verwenden möchten, müssen die Zertifikate die folgenden Anforderungen erfüllen.

Zertifikatstyp

Zertifikatsanforderungen

Maschinen-SSL-Zertifikat

Für das Maschinen-SSL-Zertifikat auf jedem Knoten ist ein separates Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erforderlich.

  • Sie können die CSRs mit vSphere Certificate Manager generieren oder aber manuell erstellen. CSRs müssen die weiter oben unter Anforderungen für alle importierten Zertifikate aufgeführten Anforderungen erfüllen.

  • Wenn Sie vSphere Certificate Manager verwenden, werden Sie für jeden Lösungsbenutzer zur Eingabe von Zertifikatinformationen aufgefordert. vSphere Certificate Manager speichert die Informationen in der Datei certool.cfg. Weitere Informationen hierzu finden Sie unter Von Certificate Manager angeforderte Informationen.

  • Für die meisten Felder können Sie den Standardwert übernehmen oder aber standortspezifische Werte eingeben. Der FQDN der Maschine ist erforderlich.

Lösungsbenutzerzertifikat

Für jeden Lösungsbenutzer auf jedem Knoten ist ein separates Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erforderlich.

  • Sie können die CSRs mit vSphere Certificate Manager generieren oder aber selbst erstellen. CSRs müssen die weiter oben unter Anforderungen für alle importierten Zertifikate aufgeführten Anforderungen erfüllen.

  • Wenn Sie vSphere Certificate Manager verwenden, werden Sie für jeden Lösungsbenutzer zur Eingabe von Zertifikatinformationen aufgefordert. vSphere Certificate Manager speichert die Informationen in der Datei certool.cfg. Weitere Informationen hierzu finden Sie unter Von Certificate Manager angeforderte Informationen.

    Anmerkung:

    Sie müssen für jeden Lösungsbenutzer einen eindeutigen Wert für den Namen verwenden. Wenn Sie das Zertifikat manuell generieren, wird es in Abhängigkeit vom verwendeten Tool möglicherweise unter Betreff als CN angezeigt.

Wenn Sie später Lösungsbenutzerzertifikate durch benutzerdefinierte Zertifikate ersetzen, geben Sie die vollständige Signaturzertifikatkette der Drittanbieterzertifizierungsstelle an.

Anmerkung:

CRL-Verteilungspunkte, Zugriff auf Zertifizierungsstelleninfos oder Zertifikatvorlageninformationen dürfen in benutzerdefinierten Zertifikaten nicht verwendet werden.