Une demande de signature de certificat (CSR) est un texte chiffré qui contient des informations spécifiques telles que le nom de l'organisation, le nom commun, la ville et le pays/la région. Vous envoyez le fichier CSR à une autorité de certification pour demander un certificat d'identité numérique.

Par défaut, l'interface utilisateur et l'API de génération CSR de NSX ne prennent pas en charge le champ SAN. Pour créer une CSR avec SAN, vous pouvez utiliser une API expérimentale, /api/v1/trust-management/csrs-extended. Pour plus d'informations, reportez-vous à Guide de NSX API.

Conditions préalables

Pour renseigner les détails du fichier CSR, collectez les informations. Vous devez connaître le FQDN du serveur, ainsi que l'unité d'organisation, l'organisation, la ville, l'état et le pays/la région.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Système > Certificats.
  3. Cliquez sur l'onglet CSR.
  4. Cliquez sur Générer une CSR et sélectionnez Générer une CSR ou Générer une CSR de CA dans le menu déroulant.
  5. Renseignez les détails du fichier.
    Option Description
    Nom commun

    Entrez le nom de domaine complet (FQDN) de votre serveur.

    Par exemple, test.vmware.com.

    Nom Attribuez un nom à votre certificat.
    Unité de l'organisation

    Entrez le service dans votre organisation qui gère ce certificat.

    Par exemple, service informatique.

    Nom de l'organisation

    Entrez le nom de votre organisation avec les suffixes applicables.

    Par exemple, VMware Inc.

    Localité

    Ajoutez la ville dans laquelle se situe votre organisation.

    Par exemple, Palo Alto.

    État

    Ajoutez l'état dans lequel se situe votre organisation.

    Par exemple, Californie.

    Pays/Région

    Ajoutez l'emplacement de votre organisation.

    Par exemple, États-Unis (US).

    Algorithme

    Définissez l'algorithme de chiffrement pour votre certificat.

    • Chiffrement RSA : utilisé pour les signatures numériques et le chiffrement du message.
    • Chiffrement ECDSA (Elliptic Curve Digital Signature Algorithm) : utilisé pour la conformité EAL4+. Les performances de cet algorithme sont plus efficaces que l'algorithme RSA.
    Taille de la clé
    Définissez la taille de la clé en bits de l'algorithme de chiffrement.
    • Pour RSA, la valeur par défaut, 2048, est adéquate, sauf si vous avez besoin d'une taille de clé différente. Les autres tailles prises en charge sont 3 072 et 4 096. Plusieurs autorités de certification requièrent une valeur minimale de 2048. Des tailles de clé supérieures sont plus sûres, mais ont un impact plus important sur les performances.
    • ECDSA utilise généralement Advanced Encryption Standard avec une clé 256 bits en mode Galois/Counter (AES 256 GCM). Les autres tailles de clé incluent 384 et 521 bits.
    Description Entrez des détails spécifiques pour vous aider à identifier ce certificat à une date ultérieure.
  6. Cliquez sur Enregistrer.
    Une CSR personnalisée s'affiche sous forme de lien.
  7. Sélectionnez la CSR et cliquez sur Actions pour sélectionner l'une des options suivantes :
    • Supprimer
    • Importer le certificat pour la CSR
    • Certificat auto-signé pour la CSR
    • Télécharger CSR PEM

      Si vous avez sélectionné Télécharger CSR PEM, vous pouvez enregistrer le fichier CSR PEM pour vos dossiers et l'envoi à l'autorité de certification. Utilisez le contenu du fichier CSR pour envoyer une demande de certificat à l'autorité de certification conformément au processus d'inscription de l'autorité de certification. Pour les deux autres options, reportez-vous aux rubriques Importer un certificat pour une demande de signature de certificat et Créer un certificat auto-signé.

Résultats

L'autorité de certification crée un certificat de serveur en fonction des informations dans le fichier CSR, le signe avec sa clé privée et vous envoie le certificat. L'autorité de certification vous envoie également un certificat d'autorité de certification racine.