Die Zertifikatsanforderungen hängen davon ab, ob Sie die VMware-Zertifizierungsstelle (VMCA) als Zwischenzertifizierungsstelle verwenden oder benutzerdefinierte Zertifikate einsetzen. Außerdem unterscheiden sich die Anforderungen für Maschinenzertifikate.

Bevor Sie mit der Änderung der Zertifikate beginnen, stellen Sie sicher, dass alle Knoten in Ihrer vSphere-Umgebung zeitlich synchronisiert sind.

Hinweis: vSphere stellt nur RSA-Zertifikate für die Serverauthentifizierung bereit und unterstützt nicht das Generieren von ECDSA-Zertifikaten. vSphere überprüft ECDSA-Zertifikate, die von anderen Servern bereitgestellt werden. Wenn beispielsweise vSphere eine Verbindung mit einem Syslog-Server herstellt und der Syslog-Server über ein ECDSA-Zertifikat verfügt, unterstützt vSphere die Überprüfung dieses Zertifikats.

Anforderungen für alle importierten vSphere-Zertifikate

  • Schlüsselgröße: 2048 Bit (Minimum) bis 8192 Bit (Maximum) (PEM-codiert) vSphere Client und die API akzeptieren beim Generieren der Zertifikatssignieranforderung weiterhin eine Schlüsselgröße von bis zu 16384 Bit.
    Hinweis: In vSphere 8.0 können Sie CSRs mit einer Schlüssellänge von mindestens 3072 Bit nur generieren, wenn Sie den vSphere Client oder den vSphere Certificate Manager verwenden. vCenter Server akzeptiert weiterhin benutzerdefinierte Zertifikate mit einer Schlüssellänge von 2048 Bit. In vSphere 8.0 Update 1 und höher können Sie den vSphere Client verwenden, um eine CSR mit einer Schlüssellänge von 2048 Bit zu generieren.
    Hinweis: Das FIPS-Zertifikat von vSphere validiert nur RSA-Schlüsselgrößen von 2048 Bit und 3072 Bit.
  • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Schlüssel, die Sie zu VECS hinzufügen, werden in PKCS8 konvertiert.
  • x509 Version 3
  • „SubjectAltName“ muss DNS-Name=Maschinen-FQDN enthalten
  • CRT-Format
  • Enthält die folgenden Schlüsselverwendungen: digitale Signatur, Schlüsselverschlüsselung.
  • Wenn eine Ausnahme für das Benutzerzertifikat der vpxd-extension-Lösung geschaffen wird, kann die erweiterte Schlüsselverwendung entweder leer sein oder eine Serverauthentifizierung enthalten.
Die folgenden Zertifikate werden von vSphere nicht unterstützt.
  • Zertifikate mit Platzhalterzeichen.
  • Die Algorithmen md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 und sha1WithRSAEncryption werden nicht unterstützt.
  • Beim Erstellen eines benutzerdefinierten Maschinen-SSL-Zertifikats für vCenter Server werden die Serverauthentifizierung und die Clientauthentifizierung nicht unterstützt und müssen entfernt werden, wenn Sie die Vorlagen der Microsoft-Zertifizierungsstelle verwenden. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2112009.

Einhaltung von RFC 2253 bei vSphere-Zertifikaten

Das Zertifikat muss RFC 2253 einhalten.

Wenn Sie Zertifikatssignieranforderungen (Certificate Signing Requests, CSRs) nicht mithilfe von vSphere Certificate Manager generieren, stellen Sie sicher, dass die CSR die folgenden Felder enthält.

String Attributtyp X.500
CN commonName
N localityName
ST stateOrProvinceName
O organizationName
OU organizationalUnitName
C countryName
STREET streetAddress
DC domainComponent
UID userid
Wenn Sie CSRs mithilfe von vSphere Certificate Manager generieren, werden Sie zur Eingabe der folgenden Informationen aufgefordert, und vSphere Certificate Manager fügt in der CSR-Datei die entsprechenden Felder hinzu.
  • Das Kennwort für den Benutzer „[email protected]“ oder für den Administrator der vCenter Single Sign On-Domäne, mit der Sie eine Verbindung herstellen.
  • Informationen, die vSphere Certificate Manager in der Datei certool.cfg speichert. Für die meisten Felder können Sie den Standardwert übernehmen oder aber standortspezifische Werte eingeben. Der FQDN der Maschine ist erforderlich.
    • Kennwort für „[email protected]
    • Aus zwei Buchstaben bestehender Ländercode
    • Name des Unternehmens
    • Organisationsname
    • Organisationseinheit
    • Zustand
    • Ort
    • IP-Adresse (optional)
    • E-Mail
    • Hostname, d. h., der vollqualifizierte Domänenname der Maschine, für die Sie das Zertifikat ersetzen möchten. Wenn der Hostname nicht mit dem FQDN übereinstimmt, wird die Zertifikatsersetzung nicht ordnungsgemäß abgeschlossen und Ihre Umgebung weist möglicherweise einen instabilen Status auf.
    • IP-Adresse des vCenter Server-Knotens, auf dem Sie vSphere Certificate Manager ausführen.
Hinweis: Das OU-Feld (organizationalUnitName) ist nicht mehr obligatorisch.

Zertifikatsanforderungen bei Verwendung von VMCA als Zwischenzertifizierungsstelle

Wenn Sie VMCA als Zwischenzertifizierungsstelle verwenden, müssen die Zertifikate die folgenden Anforderungen erfüllen.

Zertifikatstyp Zertifikatsanforderungen
Rootzertifikat
  • Sie können vSphere Certificate Manager zum Generieren der CSR verwenden. Weitere Informationen hierzu finden Sie unter Generieren von CSRs mit dem Zertifikatmanager und Vorbereiten des Rootzertifikats (Zwischenzertifizierungsstelle).
  • Wenn Sie die CSR manuell erstellen möchten, muss das Zertifikat, das Sie zum Signieren senden, die folgenden Anforderungen erfüllen.
    • Schlüsselgröße: 2048 Bit (Minimum) bis 8192 (Maximum) (PEM-codiert)
    • PEM-Format. VMware unterstützt PKCS8 und PKCS1 (RSA-Schlüssel). Wenn Schlüssel zu VECS hinzugefügt werden, werden sie in PKCS8 konvertiert.
    • x509 Version 3
    • Die Zertifizierungsstellenerweiterung muss für Stammzertifikate auf „true“ festgelegt werden und „cert sign“ muss in der Liste der Anforderungen vorhanden sein. Beispiel:
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • CRL-Signatur muss aktiviert sein.
    • Erweiterte Schlüsselverwendung kann entweder leer sein oder Serverauthentifizierung enthalten.
    • Keine explizite Beschränkung der Zertifikatskettenlänge. VMCA verwendet den OpenSSL-Standardwert von 10 Zertifikaten.
    • Zertifikate mit Platzhalterzeichen oder mehr als einem DNS-Namen werden nicht unterstützt.
    • Untergeordnete Zertifizierungsstellen von VMCA können nicht erstellt werden.

      Im VMware-Knowledgebase-Artikel „Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x“ unter https://kb.vmware.com/s/article/2112009 finden Sie ein Beispiel für die Verwendung der Microsoft-Zertifizierungsstelle.

Maschinen-SSL-Zertifikat

Sie können die CSR mithilfe des vSphere Certificate Manager oder manuell erstellen.

Wenn Sie die CSR manuell erstellen, muss sie die weiter oben unter Anforderungen für alle importierten vSphere-Zertifikate aufgeführten Anforderungen erfüllen. Darüber hinaus müssen Sie den FQDN für den Host angeben.

Lösungsbenutzerzertifikat

Sie können die CSR mithilfe des vSphere Certificate Manager oder manuell erstellen.

Hinweis: Sie müssen für jeden Lösungsbenutzer einen eindeutigen Wert für den Namen verwenden. Wenn Sie das Zertifikat manuell generieren, wird es in Abhängigkeit vom verwendeten Tool möglicherweise unter Betreff als CN angezeigt.

Wenn Sie vSphere Certificate Manager verwenden, werden Sie für jeden Lösungsbenutzer zur Eingabe von Zertifikatinformationen aufgefordert. vSphere Certificate Manager speichert die Informationen in der Datei certool.cfg.

Für den Lösungsbenutzer „vpxd-extension“ können Sie „Erweiterte Schlüsselnutzung“ leer lassen oder „TLS-WWW-Clientauthentifizierung“ verwenden.

Anforderungen bei der Verwendung von benutzerdefinierten Zertifikaten

Wenn Sie benutzerdefinierte Zertifikate verwenden möchten, müssen die Zertifikate die folgenden Anforderungen erfüllen.

Zertifikatstyp Zertifikatsanforderungen
Maschinen-SSL-Zertifikat Für das Maschinen-SSL-Zertifikat auf jedem Knoten ist ein separates Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erforderlich.
  • Sie können die CSR mit vSphere Client oder dem vSphere Certificate Manager generieren oder aber manuell erstellen. Die CSR muss die weiter oben unter Anforderungen für alle importierten vSphere-Zertifikate aufgeführten Anforderungen erfüllen.
  • Für die meisten Felder können Sie den Standardwert übernehmen oder aber standortspezifische Werte eingeben. Der FQDN der Maschine ist erforderlich.
Lösungsbenutzerzertifikat Für jeden Lösungsbenutzer auf jedem Knoten ist ein separates Zertifikat von Ihrer Drittanbieter- oder Unternehmenszertifizierungsstelle erforderlich.
  • Sie können die CSRs mit vSphere Certificate Manager generieren oder aber selbst erstellen. Die CSR muss die weiter oben unter Anforderungen für alle importierten vSphere-Zertifikate aufgeführten Anforderungen erfüllen.

  • Wenn Sie vSphere Certificate Manager verwenden, werden Sie für jeden Lösungsbenutzer vom Dienstprogramm zur Eingabe von Zertifikatinformationen aufgefordert. vSphere Certificate Manager speichert die Informationen in der Datei certool.cfg.

    Hinweis: Sie müssen für jeden Lösungsbenutzer einen eindeutigen Wert für den Namen verwenden. Wenn Sie ein Zertifikat manuell generieren, wird es je nach dem verwendeten Tool möglicherweise unter Betreff als CN angezeigt.

Wenn Sie später Lösungsbenutzerzertifikate durch benutzerdefinierte Zertifikate ersetzen, geben Sie die vollständige Signaturzertifikatkette der Drittanbieterzertifizierungsstelle an.

Für den Lösungsbenutzer „vpxd-extension“ können Sie „Erweiterte Schlüsselnutzung“ leer lassen oder „TLS-WWW-Clientauthentifizierung“ verwenden.