Los requisitos de certificados dependen de si se usa VMCA como entidad de certificación intermedia o si se usan certificados personalizados. Los requisitos también son diferentes para los certificados de máquina y los certificados de usuario de solución.
Antes de comenzar, asegúrese de que la hora de todos los nodos del entorno esté sincronizada.
Requisitos para todos los certificados importados
- Tamaño de clave: 2.048 bits o más (formato codificado PEM)
- Formato PEM. VMware admite PKCS8 y PKCS1 (claves RSA). Cuando se agregan claves a VECS, se convierten en PKCS8.
- x509 versión 3
- SubjectAltName debe contener DNS Name=machine_FQDN
- Formato CRT
- Contiene los siguientes usos de claves: firma digital, cifrado de clave.
- El uso mejorado de clave puede estar vacío o contener autenticación del servidor.
- Certificados con comodines
- No se recomiendan los algoritmos md2WithRSAEncryption 1.2.840.113549.1.1.2, md5WithRSAEncryption 1.2.840.113549.1.1.4 ni sha1WithRSAEncryption 1.2.840.113549.1.1.5.
- El algoritmo RSASSA-PSS con el OID 1.2.840.113549.1.1.10 no es compatible.
Cumplimiento del certificado con RFC 2253
El certificado debe cumplir con RFC 2253.
Si no genera solicitudes de firma de certificados (Certificate Signature Request, CSR) con Certificate Manager, asegúrese de que la CSR incluya los siguientes campos.
Cadena | Tipo de atributo X.500 |
---|---|
CN | commonName |
L | localityName |
ST | stateOrProvinceName |
O | organizationName |
OU | organizationalUnitName |
C | countryName |
CALLE | streetAddress |
DC | domainComponent |
UID | userid |
- La contraseña del usuario [email protected] o del administrador del dominio de vCenter Single Sign-On al que se va a conectar.
- Cuando se desea generar una CSR en un entorno con una instancia externa de Platform Services Controller, se solicita el nombre de host o la dirección IP de Platform Services Controller.
- Información que Certificate Manager almacena en el archivo certool.cfg. En la mayoría de los campos, se puede aceptar el valor predeterminado o proporcionar valores específicos del sitio. Se requiere el FQDN de la máquina.
- Contraseña de [email protected].
- Código de país de dos letras
- Nombre de empresa
- Nombre de organización
- Unidad de organización
- Estado
- Localidad
- Dirección IP (opcional)
- Correo electrónico
- Nombre del host, es decir, el nombre de dominio completo de la máquina para la que se desea reemplazar el certificado. Si el nombre del host no coincide con el FQDN, el reemplazo de los certificados no se completa correctamente y el entorno puede quedar en un estado inestable.
- Dirección IP de Platform Services Controller si se ejecuta el comando en un nodo de vCenter Server (administración).
Requisitos al usar VMCA como entidad de certificación intermedia
Tipo de certificado | Requisitos de certificados |
---|---|
Certificado raíz |
|
Certificado SSL de máquina | Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR. Si crea manualmente la CSR, debe cumplir con los requisitos enumerados anteriormente en la sección Requisitos para todos los certificados importados. También tendrá que especificar el FQDN del host. |
Certificado de usuario de solución | Se puede utilizar vSphere Certificate Manager para crear la solicitud CSR o crear manualmente la CSR.
Nota: Debe utilizar un valor diferente en el nombre para cada usuario de solución. Si genera el certificado manualmente, es posible que esto se muestre como
CN en el
asunto, según la herramienta que utilice.
Si utiliza vSphere Certificate Manager, la herramienta le solicitará información del certificado para cada usuario de solución. vSphere Certificate Manager almacena la información en certool.cfg. Consulte la información que solicita Certificate Manager. |
Requisitos de certificados personalizados
Tipo de certificado | Requisitos de certificados |
---|---|
Certificado SSL de máquina | El certificado SSL de máquina en cada nodo debe tener un certificado independiente de la entidad de certificación empresarial o externa.
|
Certificado de usuario de solución | Cada usuario de solución en cada nodo debe tener un certificado independiente de la entidad de certificación empresarial o externa.
Cuando reemplace posteriormente los certificados de usuario de solución por certificados personalizados, proporcione la cadena de certificados de firma completa de la entidad de certificación externa. |