Wenn Sie ein Unternehmenszertifikat oder ein von einer Zertifizierungsstelle eines Drittanbieters bzw. einer untergeordneten Zertifizierungsstelle signiertes Zertifikat verwenden möchten, müssen Sie eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) an die Zertifizierungsstelle senden.
Verwenden Sie eine Zertifikatssignieranforderung mit den folgenden Eigenschaften:
- Schlüsselgröße: 2048 Bit (Minimum) bis 16384 Bit (Maximum) (PEM-codiert)
- PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
- x509 Version 3
- Für Stammzertifikate muss die Zertifizierungsstellenerweiterung auf „true“ festgelegt sein, und „cert sign“ muss in der Liste der Anforderungen vorhanden sein.
- „SubjectAltName“ muss DNS-Name=<Maschinen-FQDN> enthalten.
- CRT-Format
- Enthält die folgenden Schlüsselverwendungen: Digitale Signatur, Unleugbarkeit, Schlüsselverschlüsselung
- Startzeit von einem Tag vor dem aktuellen Zeitpunkt.
- CN (und SubjectAltName) auf den Hostnamen (oder die IP-Adresse) festgelegt, den/die der ESXi-Host in der vCenter Server-Bestandsliste hat.
Die folgenden Zertifikate werden von vSphere nicht unterstützt.
- Zertifikate mit Platzhalterzeichen.
- Die Algorithmen md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 und sha1WithRSAEncryption werden nicht unterstützt.
Informationen darüber, wie Sie die CSR generieren, finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2113926.