Der erste Schritt beim Ersetzen des VMCA-Zertifikats durch benutzerdefinierte Zertifikate besteht im Generieren einer Zertifikatsignieranforderung (Certificate Signing Request, CSR) und im Senden der zu signierenden CSR. Anschließend fügen Sie das signierte Zertifikat als Root-Zertifikat zu VMCA hinzu.
- Schlüsselgröße: mindestens 2.048 Bit
- PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
- x509 Version 3
- Wenn Sie benutzerdefinierte Zertifikate verwenden, muss die Zertifizierungsstellenerweiterung für Stammzertifikate auf „true“ festgelegt werden, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.
- CRL-Signatur muss aktiviert sein.
- Erweiterte Schlüsselverwendung kann entweder leer sein oder Serverauthentifizierung enthalten.
- Keine explizite Beschränkung der Zertifikatskettenlänge. VMCA verwendet den OpenSSL-Standardwert von 10 Zertifikaten.
- Zertifikate mit Platzhalterzeichen oder mehr als einem DNS-Namen werden nicht unterstützt.
- Untergeordnete Zertifizierungsstellen von VMCA können nicht erstellt werden.
Im VMware-Knowledgebase-Artikel „Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0“ unter http://kb.vmware.com/kb/2112009 finden Sie ein Beispiel für die Verwendung der Microsoft-Zertifizierungsstelle.
- Schlüsselgröße von mindestens 2.048 Bit
- Schlüsselverwendung: Cert Sign
- Basiseinschränkung: Betrefftyp Zertifizierungsstelle
Prozedur
Beispiel: Ersetzen des Root-Zertifikats
Ersetzen Sie das VMCA-Root-Zertifikat durch das benutzerdefinierte Root-Zertifikat der Zertifizierungsstelle, indem Sie den certool-Befehl mit der Option --rootca verwenden.
C:\>"C:\Program Files\VMware\vCenter Server\vmcad\certool" --rootca --cert=C:\custom-certs\root.pem -–privkey=C:\custom-certs\root.key
- Das neue benutzerdefinierte Root-Zertifikat wird dem Zertifikatspeicherort im Dateisystem hinzufügt.
- Das benutzerdefinierte Root-Zertifikat wird an den TRUSTED_ROOTS-Speicher in VECS angehängt.
- Das benutzerdefinierte Root-Zertifikat wird zu vmdir hinzugefügt.
Nächste Maßnahme
Sie können das ursprüngliche VMCA-Root-Zertifikat aus dem Zertifikatspeicher entfernen, wenn die Unternehmensrichtlinien dies verlangen. In diesem Fall müssen Sie das vCenter Single Sign-On-Signaturzertifikat ersetzen. Weitere Informationen hierzu finden Sie unter Aktualisieren des Zertifikats für den Security Token Service.