La richiesta di firma del certificato (CSR) è un testo crittografato che contiene informazioni specifiche come nome dell'organizzazione, nome comune, località e paese o area geografica. Il file CSR viene inviato a un'autorità di certificazione (CA) per richiedere un certificato di identità digitale.

Per impostazione predefinita, l'interfaccia utente e l'API di generazione di una richiesta di firma del certificato di NSX non supportano il campo SAN. Per creare una CSR con SAN, è possibile utilizzare un'API sperimentale, /api/v1/trust-management/csrs-extended. Per ulteriori informazioni, vedere il Guida di NSX API.

Prerequisiti

Per compilare i dettagli del file CSR, raccogliere le informazioni. È necessario conoscere il nome di dominio completo del server, nonché l'unità organizzativa, l'organizzazione, la città, lo stato e il paese o l'area geografica.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Sistema > Certificati.
  3. Fare clic sulla scheda CSR.
  4. Fare clic su Genera CSR e selezionare Genera CSR o Genera CA CSR dal menu a discesa.
  5. Compilare i dettagli del file.
    Opzione Descrizione
    Nome comune

    Immettere il nome di dominio completo (FQDN) del server.

    Ad esempio, test.vmware.com.

    Nome Assegnare un nome per il certificato.
    Unità organizzativa

    Immettere il reparto dell'organizzazione che gestisce questo certificato

    Ad esempio, reparto IT.

    Nome organizzazione

    Immettere il nome dell'organizzazione con i suffissi applicabili.

    Ad esempio, VMware Inc.

    Località

    Aggiungere la città in cui si trova l'organizzazione.

    Ad esempio, Palo Alto.

    Stato

    Aggiungere lo stato in cui si trova l'organizzazione.

    Ad esempio, California.

    Paese/area geografica

    Aggiungere la posizione dell'organizzazione.

    Ad esempio, Stati Uniti (US).

    Algoritmo

    Impostare l'algoritmo di crittografia per il certificato.

    • La crittografia RSA viene utilizzata per le firme digitali e la crittografia del messaggio.
    • Crittografia ECDSA (Elliptic Curve Digital Signature Algorithm) - utilizzata per la conformità EAL4+. Le prestazioni di questo algoritmo sono più efficienti rispetto all'algoritmo RSA.
    Dimensioni chiave
    Impostare le dimensioni dei bit della chiave dell'algoritmo di crittografia.
    • Per RSA, il valore predefinito 2048 è adeguato a meno che non siano necessarie dimensioni della chiave diverse. Altre dimensioni supportate sono 3072 e 4096. Molte autorità di certificazione richiedono il valore minimo 2048. Dimensioni della chiave più grandi sono più sicure, ma hanno un impatto maggiore sulle prestazioni.
    • ECDSA utilizza in genere Advanced Encryption Standard con chiave a 256 bit in modalità Galois/Counter (AES 256 GCM). Altre dimensioni di chiave includono 384 e 521 bit.
    Descrizione Immettere dettagli specifici che consentiranno di identificare il certificato in futuro.
  6. Fare clic su Salva.
    Un CSR personalizzato viene visualizzato come collegamento.
  7. Selezionare la richiesta CSR e fare clic su Azioni per selezionare una delle opzioni seguenti:
    • Elimina
    • Importa certificato per CSR
    • Certificato autofirmato per CSR
    • Scarica CSR PEM

      Se si seleziona Scarica CSR PEM, è possibile salvare il file PEM di CSR per i record e l'invio dell'autorità di certificazione. Utilizzare i contenuti del file di CSR per inviare una richiesta di certificato all'autorità di certificazione in base al processo di registrazione dell'autorità di certificazione. Per le altre due opzioni, fare riferimento agli argomenti Importazione di un certificato per una richiesta CSR e Creazione di un certificato autofirmato.

risultati

L'autorità di certificazione crea un certificato del server in base alle informazioni contenute nel file di CSR, lo firma con la chiave privata e invia il certificato. L'autorità di certificazione invia anche un certificato CA root.