Zertifikatsanforderungen für unterschiedliche Lösungspfade

Die Zertifikatsanforderungen sind abhängig davon, ob Sie VMCA als Zwischenzertifizierungsstelle oder aber benutzerdefinierte Zertifikate verwenden. Die Anforderungen variieren auch für Maschinen- und Lösungsbenutzerzertifikate.

Bevor Sie beginnen müssen Sie sicherstellen, dass für alle Knoten in Ihrer Umgebung die Uhrzeit synchronisiert ist.

Anforderungen für alle importierten Zertifikate

Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)
PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Schlüssel, die Sie zu VECS hinzufügen, werden in PKCS8 konvertiert.
x509 Version 3
„SubjectAltName“ muss DNS-Name=Maschinen-FQDN enthalten
CRT-Format
Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung.
Erweiterte Schlüsselverwendung kann entweder leer sein oder Serverauthentifizierung enthalten.

Die folgenden Zertifikate werden von vSphere nicht unterstützt.

Zertifikate mit Platzhalterzeichen.
Die Algorithmen md2WithRSAEncryption 1.2.840.113549.1.1.2, md5WithRSAEncryption 1.2.840.113549.1.1.4 und sha1WithRSAEncryption 1.2.840.113549.1.1.5 werden nicht empfohlen.
Der Algorithmus RSASSA-PSS mit OID 1.2.840.113549.1.1.10 wird nicht unterstützt.

Einhaltung von RFC 2253 bei Zertifikaten

Das Zertifikat muss RFC 2253 einhalten.

Wenn Sie Zertifikatssignieranforderungen (Certificate Signing Requests, CSRs) nicht mithilfe von Certificate Manager generieren, stellen Sie sicher, dass die CSR die folgenden Felder enthält.

String	Attributtyp X.500
CN	commonName
N	localityName
ST	stateOrProvinceName
O	organizationName
OU	organizationalUnitName
C	countryName
STREET	streetAddress
DC	domainComponent
UID	userid

Wenn Sie CSRs mithilfe von Certificate Manager generieren, werden Sie zur Eingabe der folgenden Informationen aufgefordert, und Certificate Manager fügt in der CSR-Datei die entsprechenden Felder hinzu.

Das Kennwort für den Benutzer „[email protected]“ oder für den Administrator der vCenter Single Sign On-Domäne, mit der Sie eine Verbindung herstellen.
Wenn Sie eine Zertifikatssignieranforderung in einer Umgebung mit einem externen Platform Services Controller generieren, werden Sie zur Eingabe des Hostnamens oder der IP-Adresse für den Platform Services Controller aufgefordert.
Informationen, die Certificate Manager in der Datei certool.cfg speichert. Für die meisten Felder können Sie den Standardwert übernehmen oder aber standortspezifische Werte eingeben. Der FQDN der Maschine ist erforderlich.
- Kennwort für „[email protected]“.
- Aus zwei Buchstaben bestehender Ländercode
- Name des Unternehmens
- Organisationsname
- Organisationseinheit
- Zustand
- Ort
- IP-Adresse (optional)
- E-Mail
- Hostname, d. h., der vollqualifizierte Domänenname der Maschine, für die Sie das Zertifikat ersetzen möchten. Wenn der Hostname nicht mit dem FQDN übereinstimmt, wird die Zertifikatsersetzung nicht ordnungsgemäß abgeschlossen und Ihre Umgebung weist möglicherweise einen instabilen Status auf.
- IP-Adresse des Platform Services Controller, wenn Sie den Befehl auf einem vCenter Server-Verwaltungsknoten ausführen.

Anforderungen für die Verwendung von VMCA als Zwischenzertifizierungsstelle

Wenn Sie VMCA als Zwischenzertifizierungsstelle verwenden, müssen die Zertifikate die folgenden Anforderungen erfüllen.


Zertifikatstyp	Zertifikatsanforderungen
Rootzertifikat	Sie können vSphere Certificate Manager zum Generieren der CSR verwenden. Weitere Informationen hierzu finden Sie unter Generieren von CSRs mit vSphere Certificate Manager und Vorbereiten des Rootzertifikats (Zwischenzertifizierungsstelle). Wenn Sie die CSR manuell erstellen möchten, muss das Zertifikat, das Sie zum Signieren senden, die folgenden Anforderungen erfüllen. Schlüsselgröße: mindestens 2.048 Bit PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert. x509 Version 3 Wenn Sie benutzerdefinierte Zertifikate verwenden, muss die Zertifizierungsstellenerweiterung für Stammzertifikate auf „true“ festgelegt werden, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein. CRL-Signatur muss aktiviert sein. Erweiterte Schlüsselverwendung kann entweder leer sein oder Serverauthentifizierung enthalten. Keine explizite Beschränkung der Zertifikatskettenlänge. VMCA verwendet den OpenSSL-Standardwert von 10 Zertifikaten. Zertifikate mit Platzhalterzeichen oder mehr als einem DNS-Namen werden nicht unterstützt. Untergeordnete Zertifizierungsstellen von VMCA können nicht erstellt werden. Im VMware-Knowledgebase-Artikel „Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0“ unter http://kb.vmware.com/kb/2112009 finden Sie ein Beispiel für die Verwendung der Microsoft-Zertifizierungsstelle.
Maschinen-SSL-Zertifikat	Sie können die CSR mithilfe des vSphere Certificate Manager oder manuell erstellen. Wenn Sie die CSR manuell erstellen, muss sie die weiter oben unter Anforderungen für alle importierten Zertifikate aufgeführten Anforderungen erfüllen. Darüber hinaus müssen Sie den FQDN für den Host angeben.
Lösungsbenutzerzertifikat	Sie können die CSR mithilfe des vSphere Certificate Manager oder manuell erstellen. Hinweis: Sie müssen für jeden Lösungsbenutzer einen eindeutigen Wert für den Namen verwenden. Wenn Sie das Zertifikat manuell generieren, wird es in Abhängigkeit vom verwendeten Tool möglicherweise unter Betreff als CN angezeigt. Wenn Sie vSphere Certificate Manager verwenden, werden Sie für jeden Lösungsbenutzer zur Eingabe von Zertifikatinformationen aufgefordert. vSphere Certificate Manager speichert die Informationen in der Datei certool.cfg. Weitere Informationen hierzu finden Sie unter Von Certificate Manager angeforderte Informationen.

Anforderungen für benutzerdefinierte Zertifikate

Wenn Sie benutzerdefinierte Zertifikate verwenden möchten, müssen die Zertifikate die folgenden Anforderungen erfüllen.


Zertifikatstyp	Zertifikatsanforderungen
Maschinen-SSL-Zertifikat	Für das Maschinen-SSL-Zertifikat auf jedem Knoten ist ein separates Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erforderlich. Sie können die CSR mit vSphere Client oder vSphere Certificate Manager generieren oder aber manuell erstellen. Die CSR muss die weiter oben unter Anforderungen für alle importierten Zertifikate aufgeführten Anforderungen erfüllen. Wenn Sie vSphere Certificate Manager verwenden, werden Sie für jeden Lösungsbenutzer zur Eingabe von Zertifikatinformationen aufgefordert. vSphere Certificate Manager speichert die Informationen in der Datei certool.cfg. Weitere Informationen hierzu finden Sie unter Von Certificate Manager angeforderte Informationen. Für die meisten Felder können Sie den Standardwert übernehmen oder aber standortspezifische Werte eingeben. Der FQDN der Maschine ist erforderlich.
Lösungsbenutzerzertifikat	Für jeden Lösungsbenutzer auf jedem Knoten ist ein separates Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erforderlich. Sie können die CSRs mit vSphere Certificate Manager generieren oder aber selbst erstellen. Wenn Sie die CSR manuell erstellen, muss sie die weiter oben unter Anforderungen für alle importierten Zertifikate aufgeführten Anforderungen erfüllen. Wenn Sie vSphere Certificate Manager verwenden, werden Sie für jeden Lösungsbenutzer zur Eingabe von Zertifikatinformationen aufgefordert. vSphere Certificate Manager speichert die Informationen in der Datei certool.cfg. Weitere Informationen hierzu finden Sie unter Von Certificate Manager angeforderte Informationen. Hinweis: Sie müssen für jeden Lösungsbenutzer einen eindeutigen Wert für den Namen verwenden. Wenn Sie ein Zertifikat manuell generieren, wird es je nach dem verwendeten Tool möglicherweise unter Betreff als CN angezeigt. Wenn Sie später Lösungsbenutzerzertifikate durch benutzerdefinierte Zertifikate ersetzen, geben Sie die vollständige Signaturzertifikatkette der Drittanbieterzertifizierungsstelle an.

Hinweis: CRL-Verteilungspunkte, Zugriff auf Zertifizierungsstelleninfos oder Zertifikatvorlageninformationen dürfen in benutzerdefinierten Zertifikaten nicht verwendet werden.