Si vous souhaitez utiliser un certificat d'entreprise ou signé par une autorité de certification tierce, ou un certificat signé par une autorité de certification subordonnée, vous devez envoyer une demande de signature de certificat (CRS) à l'autorité de certification.
Utilisez une demande de signature de certificat présentant les caractéristiques suivantes :
- Taille de clé : de 2 048 bits (minimum) à 16 384 bits (maximum) (codée au format PEM)
- Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8.
- x509 version 3
- Pour les certificats racines, l'extension d'autorité de certification doit être définie sur vrai et la signature de certification doit figurer dans la liste de conditions requises.
- SubjectAltName doit contenir DNS Name=<machine_FQDN>.
- Format CRT
- Contient les utilisations de clé suivantes : signature numérique, non-répudiation, chiffrement de la clé
- Heure de début antérieure d'un jour à l'heure actuelle.
- CN (et SubjectAltName) défini sur le nom de l'hôte (ou l'adresse IP) de l'hôte ESXi dans l'inventaire vCenter Server.
vSphere ne prend pas en charge les certificats suivants.
- Certificats comportant des caractères génériques.
- Les algorithmes md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 et sha1WithRSAEncryption ne sont pas pris en charge.
Pour d'informations sur la génération de la demande de signature de certificat, consultez l'article de la base de connaissances VMware https://kb.vmware.com/s/article/2113926.
