Wenn Sie ein Unternehmenszertifikat oder ein von einer Zertifizierungsstelle eines Drittanbieters signiertes Zertifikat verwenden möchten, müssen Sie eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) an die Zertifizierungsstelle senden.
Verwenden Sie eine Zertifikatssignieranforderung mit den folgenden Eigenschaften:
- Schlüsselgröße: mindestens 2.048 Bit (PEM-kodiert)
- PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
- x509 Version 3
- Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.
- „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
- CRT-Format
- Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung
- Startzeit von einem Tag vor dem aktuellen Zeitpunkt.
- CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.
Informationen darüber, wie Sie die CSR generieren, finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2113926.