Requisiti dei certificati di vSphere per percorsi di soluzioni diverse

I requisiti dei certificati variano in base al fatto che si utilizzi VMware Certificate Authority (VMCA) come autorità di certificazione intermedia o che si utilizzino certificati personalizzati. I requisiti sono inoltre diversi per i certificati macchina.

Prima di iniziare a modificare i certificati, assicurarsi che tutti i nodi dell'ambiente vSphere abbiano l'ora sincronizzata.

Nota: vSphere distribuisce solo certificati RSA per l'autenticazione del server e non supporta la generazione di certificati ECDSA. vSphere verifica i certificati ECDSA presentati da altri server. Ad esempio, se vSphere si connette a un server syslog e il server syslog dispone di un certificato ECDSA, vSphere supporta la verifica di tale certificato.

Requisiti per tutti i certificati di vSphere importati

Dimensioni chiave: da 2048 bit (minimo) a 8192 bit (massimo) (con codifica PEM). vSphere Client e l'API accettano ancora dimensioni della chiave fino a 16384 bit quando si genera la richiesta di firma del certificato.
Nota: In vSphere 8.0, è possibile generare richieste CSR solo se la chiave è lunga almeno 3072 bit quando si utilizza vSphere Client o vSphere Certificate Manager. vCenter Server accetta comunque certificati personalizzati con lunghezza della chiave di 2048 bit. In vSphere 8.0 Update 1 e versioni successive, è possibile utilizzare vSphere Client per generare una richiesta CSR con una lunghezza della chiave di 2048 bit.

Nota: Il certificato FIPS di vSphere convalida solo dimensioni della chiave RSA di 2048 bit e 3072 bit.
Formato PEM. VMware supporta PKCS8 e PKCS1 (chiavi RSA). Le chiavi che vengono aggiunte a VECS vengono convertite in PKCS8.
x509 versione 3
SubjectAltName deve contenere DNS Name=machine_FQDN
Formato CRT
Contiene i seguenti utilizzi delle chiavi: Firma digitale, Crittografia chiave.
Ad eccezione del certificato utente della soluzione vpxd-extension, il campo Extended Key Usage può essere vuoto o contenere Autenticazione server.

vSphere non supporta i certificati seguenti.

Certificati con caratteri jolly.
Gli algoritmi md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 e sha1WithRSAEncryption non sono supportati.
Quando si crea un certificato SSL della macchina personalizzato per vCenter Server, l'autenticazione del server e l'autenticazione del client non sono supportate e devono essere rimosse quando si utilizzano i modelli dell'autorità di certificazione (CA) Microsoft. Per ulteriori informazioni, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2112009.

Conformità del certificato di vSphere alla specifica RFC 2253

Il certificato deve essere conforme alla specifica RFC 2253.

Se la richiesta CSR non viene generata tramite vSphere Certificate Manager, assicurarsi che includa i seguenti campi.

Stringa	Tipo di attributo X.500
CN	commonName
L	localityName
ST	stateOrProvinceName
O	organizationName
OU	organizationalUnitName
C	countryName
STREET	streetAddress
DC	domainComponent
UID	userid

Se la richiesta CSR viene generata tramite vSphere Certificate Manager, vengono richieste le seguenti informazioni e vSphere Certificate Manager aggiunge i campi corrispondenti al file della richiesta CSR.

La password dell'utente [email protected] o dell'amministratore del dominio di vCenter Single Sign-On a cui ci si sta connettendo.
Informazioni che vSphere Certificate Manager archivia nel file certool.cfg. Per la maggior parte dei campi, è possibile accettare i valori predefiniti o fornire valori specifici del sito. L'FQDN della macchina è obbligatorio.
- Password per [email protected]
- Codice paese a due lettere
- Nome azienda
- Nome organizzazione
- Unità organizzativa
- Stato
- Località
- Indirizzo IP (facoltativo)
- Indirizzo e-mail
- Nome host, ovvero il nome dominio completo della macchina per cui si desidera sostituire il certificato. Se il nome host non corrisponde all'FQDN, la sostituzione del certificato non viene completata correttamente e l'ambiente potrebbe risultare instabile.
- Indirizzo IP del nodo di vCenter Server in cui viene eseguita l'utilità vSphere Certificate Manager.

Nota: Il campo OU (organizationalUnitName) non è più obbligatorio.

Requisiti dei certificati quando si utilizza VMCA come autorità di certificazione intermedia

Quando si utilizza VMCA come CA intermedia, i certificati devono soddisfare i requisiti seguenti.


Tipo di certificato	Requisiti dei certificati
Certificato root	È possibile utilizzare vSphere Certificate Manager per creare la richiesta CSR. Vedere Generazione di CSR tramite Certificate Manager e preparazione del certificato root (CA intermedia). Se si preferisce creare la richiesta CSR manualmente, il certificato da firmare dovrà soddisfare i requisiti seguenti. Dimensioni chiave: da 2048 bit (minimo) a 8192 bit (massimo) (con codifica PEM) Formato PEM. VMware supporta PKCS8 e PKCS1 (chiavi RSA). Quando le chiavi vengono aggiunte in VECS, vengono convertite in PKCS8. x509 versione 3 L'estensione CA deve essere impostata su true per i certificati root e la firma del certificato deve essere presente nell'elenco dei requisiti. Ad esempio: basicConstraints = critical,CA:true keyUsage = critical,digitalSignature,keyCertSign La firma di CRL deve essere abilitata. L'estensione EKU (Extended Key Usage) può essere vuota o contenere l'Autenticazione server. Nessun limite esplicito alla lunghezza della catena di certificati. VMCA utilizza il valore predefinito di OpenSSL, ovvero 10 certificati. I certificati con caratteri jolly o con più nomi DNS non sono supportati. Non è possibile creare CA secondarie di VMCA. Per un esempio di utilizzo dell'autorità di certificazione Microsoft, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2112009, Creazione di un modello dell'autorità di certificazione Microsoft per la creazione di certificati SSL in vSphere 6.x.
Certificato SSL della macchina	La richiesta CSR può essere creata manualmente o tramite vSphere Certificate Manager. La richiesta CSR creata manualmente deve soddisfare i requisiti elencati in precedenza in Requisiti per tutti i certificati di vSphere importati. È inoltre necessario specificare l'FQDN per l'host.
Certificato utente della soluzione	La richiesta CSR può essere creata manualmente o tramite vSphere Certificate Manager. Nota: L'attributo "Nome" dovrà avere un valore diverso per ogni utente della soluzione. A seconda dello strumento utilizzato per generare il certificato manualmente, questo attributo potrebbe essere visualizzato come CN in Oggetto. Se si utilizza vSphere Certificate Manager, lo strumento richiede di specificare le informazioni sui certificati per ogni utente della soluzione. vSphere Certificate Manager archivia le informazioni in certool.cfg. Per l'utente della soluzione vpxd-extension, è possibile lasciare vuoto il campo Extended Key Usage o utilizzare "Autenticazione client TLS WWW".

Requisiti per l'utilizzo di certificati personalizzati

Se si desidera utilizzare certificati personalizzati, devono soddisfare i requisiti seguenti.


Tipo di certificato	Requisiti dei certificati
Certificato SSL della macchina	Il certificato SSL della macchina in ogni nodo deve disporre di un certificato separato emesso dall'autorità di certificazione (CA) aziendale o di terze parti. La richiesta CSR può essere creata manualmente oppure utilizzando vSphere Client o vSphere Certificate Manager. La richiesta CSR deve soddisfare i requisiti elencati in precedenza in Requisiti per tutti i certificati di vSphere importati. Per la maggior parte dei campi, è possibile accettare i valori predefiniti o fornire valori specifici del sito. L'FQDN della macchina è obbligatorio.
Certificato utente della soluzione	Ogni utente della soluzione in ciascun nodo deve disporre di un certificato distinto emesso dall'autorità di certificazione aziendale o di terze parti. Le richieste CSR possono essere create manualmente oppure utilizzando vSphere Certificate Manager. La richiesta CSR deve soddisfare i requisiti elencati in precedenza in Requisiti per tutti i certificati di vSphere importati. Se si utilizza vSphere Certificate Manager, l'utilità richiede di specificare le informazioni sui certificati per ogni utente della soluzione. vSphere Certificate Manager archivia le informazioni in certool.cfg. Nota: L'attributo "Nome" dovrà avere un valore diverso per ogni utente della soluzione. In base allo strumento utilizzato per generare il certificato manualmente, questo attributo potrebbe essere visualizzato come CN in Oggetto. Quando in seguito si sostituiranno i certificati utente della soluzione con certificati personalizzati, sarà necessario fornire la catena di certificati di firma completa dell'autorità di certificazione di terze parti. Per l'utente della soluzione vpxd-extension, è possibile lasciare vuoto il campo Extended Key Usage o utilizzare "Autenticazione client TLS WWW".