Zertifikatsanforderungen für unterschiedliche Lösungspfade

Die Zertifikatsanforderungen sind abhängig davon, ob Sie VMCA als Zwischenzertifizierungsstelle oder aber benutzerdefinierte Zertifikate verwenden. Außerdem unterscheiden sich die Anforderungen für Maschinenzertifikate.

Bevor Sie beginnen müssen Sie sicherstellen, dass für alle Knoten in Ihrer Umgebung die Uhrzeit synchronisiert ist.

Hinweis: vSphere stellt nur RSA-Zertifikate für die Serverauthentifizierung bereit und unterstützt nicht das Generieren von ECDSA-Zertifikaten. vSphere überprüft ECDSA-Zertifikate, die von anderen Servern bereitgestellt werden. Wenn beispielsweise vSphere eine Verbindung mit einem Syslog-Server herstellt und der Syslog-Server über ein ECDSA-Zertifikat verfügt, unterstützt vSphere die Überprüfung dieses Zertifikats.

Anforderungen für alle importierten Zertifikate

Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert)
PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Schlüssel, die Sie zu VECS hinzufügen, werden in PKCS8 konvertiert.
x509 Version 3
„SubjectAltName“ muss DNS-Name=Maschinen-FQDN enthalten
CRT-Format
Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung.
Wenn eine Ausnahme für das Benutzerzertifikat der vpxd-extension-Lösung geschaffen wird, kann die erweiterte Schlüsselverwendung entweder leer sein oder eine Serverauthentifizierung enthalten.

Die folgenden Zertifikate werden von vSphere nicht unterstützt.

Zertifikate mit Platzhalterzeichen.
Die Algorithmen md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 und sha1WithRSAEncryption werden nicht unterstützt.

Einhaltung von RFC 2253 bei Zertifikaten

Das Zertifikat muss RFC 2253 einhalten.

Wenn Sie Zertifikatssignieranforderungen (Certificate Signing Requests, CSRs) nicht mithilfe von Certificate Manager generieren, stellen Sie sicher, dass die CSR die folgenden Felder enthält.

String	Attributtyp X.500
CN	commonName
N	localityName
ST	stateOrProvinceName
O	organizationName
OU	organizationalUnitName
C	countryName
STREET	streetAddress
DC	domainComponent
UID	userid

Wenn Sie CSRs mithilfe von Certificate Manager generieren, werden Sie zur Eingabe der folgenden Informationen aufgefordert, und Certificate Manager fügt in der CSR-Datei die entsprechenden Felder hinzu.

Das Kennwort für den Benutzer „[email protected]“ oder für den Administrator der vCenter Single Sign On-Domäne, mit der Sie eine Verbindung herstellen.
Informationen, die Certificate Manager in der Datei certool.cfg speichert. Für die meisten Felder können Sie den Standardwert übernehmen oder aber standortspezifische Werte eingeben. Der FQDN der Maschine ist erforderlich.
- Kennwort für „[email protected]“
- Aus zwei Buchstaben bestehender Ländercode
- Name des Unternehmens
- Organisationsname
- Organisationseinheit
- Zustand
- Ort
- IP-Adresse (optional)
- E-Mail
- Hostname, d. h., der vollqualifizierte Domänenname der Maschine, für die Sie das Zertifikat ersetzen möchten. Wenn der Hostname nicht mit dem FQDN übereinstimmt, wird die Zertifikatsersetzung nicht ordnungsgemäß abgeschlossen und Ihre Umgebung weist möglicherweise einen instabilen Status auf.
- IP-Adresse des vCenter Server-Knotens, auf dem Sie Certificate Manager ausführen.

Anforderungen für die Verwendung von VMCA als Zwischenzertifizierungsstelle

Wenn Sie VMCA als Zwischenzertifizierungsstelle verwenden, müssen die Zertifikate die folgenden Anforderungen erfüllen.


Zertifikatstyp	Zertifikatsanforderungen
Rootzertifikat	Sie können vSphere Certificate Manager zum Generieren der CSR verwenden. Weitere Informationen hierzu finden Sie unter Generieren von CSRs mit vSphere Certificate Manager und Vorbereiten des Rootzertifikats (Zwischenzertifizierungsstelle). Wenn Sie die CSR manuell erstellen möchten, muss das Zertifikat, das Sie zum Signieren senden, die folgenden Anforderungen erfüllen. Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert) PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert. x509 Version 3 Die Zertifizierungsstellenerweiterung muss für Stammzertifikate auf „true“ festgelegt werden und „cert sign“ muss in der Liste der Anforderungen vorhanden sein. Beispiel: basicConstraints = critical,CA:true keyUsage = critical,digitalSignature,keyCertSign CRL-Signatur muss aktiviert sein. Erweiterte Schlüsselverwendung kann entweder leer sein oder Serverauthentifizierung enthalten. Keine explizite Beschränkung der Zertifikatskettenlänge. VMCA verwendet den OpenSSL-Standardwert von 10 Zertifikaten. Zertifikate mit Platzhalterzeichen oder mehr als einem DNS-Namen werden nicht unterstützt. Untergeordnete Zertifizierungsstellen von VMCA können nicht erstellt werden. Im VMware-Knowledgebase-Artikel „Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x“ unter http://kb.vmware.com/kb/2112009 finden Sie ein Beispiel für die Verwendung der Microsoft-Zertifizierungsstelle.
Maschinen-SSL-Zertifikat	Sie können die CSR mithilfe des vSphere Certificate Manager oder manuell erstellen. Wenn Sie die CSR manuell erstellen, muss sie die weiter oben unter Anforderungen für alle importierten Zertifikate aufgeführten Anforderungen erfüllen. Darüber hinaus müssen Sie den FQDN für den Host angeben.
Lösungsbenutzerzertifikat	Sie können die CSR mithilfe des vSphere Certificate Manager oder manuell erstellen. Hinweis: Sie müssen für jeden Lösungsbenutzer einen eindeutigen Wert für den Namen verwenden. Wenn Sie das Zertifikat manuell generieren, wird es in Abhängigkeit vom verwendeten Tool möglicherweise unter Betreff als CN angezeigt. Wenn Sie vSphere Certificate Manager verwenden, werden Sie für jeden Lösungsbenutzer zur Eingabe von Zertifikatinformationen aufgefordert. vSphere Certificate Manager speichert die Informationen in der Datei certool.cfg. Weitere Informationen hierzu finden Sie unter Von Certificate Manager angeforderte Informationen. Für den Lösungsbenutzer „vpxd-extension“ können Sie „Erweiterte Schlüsselnutzung“ leer lassen oder „TLS-WWW-Clientauthentifizierung“ verwenden.

Anforderungen für benutzerdefinierte Zertifikate

Wenn Sie benutzerdefinierte Zertifikate verwenden möchten, müssen die Zertifikate die folgenden Anforderungen erfüllen.


Zertifikatstyp	Zertifikatsanforderungen
Maschinen-SSL-Zertifikat	Für das Maschinen-SSL-Zertifikat auf jedem Knoten ist ein separates Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erforderlich. Sie können die CSR mit vSphere Client oder vSphere Certificate Manager generieren oder aber manuell erstellen. Die CSR muss die weiter oben unter Anforderungen für alle importierten Zertifikate aufgeführten Anforderungen erfüllen. Für die meisten Felder können Sie den Standardwert übernehmen oder aber standortspezifische Werte eingeben. Der FQDN der Maschine ist erforderlich.
Lösungsbenutzerzertifikat	Für jeden Lösungsbenutzer auf jedem Knoten ist ein separates Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erforderlich. Sie können die CSRs mit vSphere Certificate Manager generieren oder aber selbst erstellen. Wenn Sie die CSR manuell erstellen, muss sie die weiter oben unter Anforderungen für alle importierten Zertifikate aufgeführten Anforderungen erfüllen. Wenn Sie vSphere Certificate Manager verwenden, werden Sie für jeden Lösungsbenutzer zur Eingabe von Zertifikatinformationen aufgefordert. vSphere Certificate Manager speichert die Informationen in der Datei certool.cfg. Weitere Informationen hierzu finden Sie unter Von Certificate Manager angeforderte Informationen. Hinweis: Sie müssen für jeden Lösungsbenutzer einen eindeutigen Wert für den Namen verwenden. Wenn Sie ein Zertifikat manuell generieren, wird es je nach dem verwendeten Tool möglicherweise unter Betreff als CN angezeigt. Wenn Sie später Lösungsbenutzerzertifikate durch benutzerdefinierte Zertifikate ersetzen, geben Sie die vollständige Signaturzertifikatkette der Drittanbieterzertifizierungsstelle an. Für den Lösungsbenutzer „vpxd-extension“ können Sie „Erweiterte Schlüsselnutzung“ leer lassen oder „TLS-WWW-Clientauthentifizierung“ verwenden.