I requisiti dei certificati variano in base al fatto che si utilizzi VMware Certificate Authority (VMCA) come autorità di certificazione intermedia o che si utilizzino certificati personalizzati. I requisiti sono inoltre diversi per i certificati macchina.
Prima di iniziare a modificare i certificati, assicurarsi che tutti i nodi dell'ambiente vSphere abbiano l'ora sincronizzata.
Requisiti per tutti i certificati di vSphere importati
- Dimensioni chiave: da 2048 bit (minimo) a 8192 bit (massimo) (con codifica PEM). vSphere Client e l'API accettano ancora dimensioni della chiave fino a 16384 bit quando si genera la richiesta di firma del certificato.
Nota: In vSphere 8.0, è possibile generare richieste CSR solo se la chiave è lunga almeno 3072 bit quando si utilizza vSphere Client o vSphere Certificate Manager. vCenter Server accetta comunque certificati personalizzati con lunghezza della chiave di 2048 bit. In vSphere 8.0 Update 1 e versioni successive, è possibile utilizzare vSphere Client per generare una richiesta CSR con una lunghezza della chiave di 2048 bit.Nota: Il certificato FIPS di vSphere convalida solo dimensioni della chiave RSA di 2048 bit e 3072 bit.
- Formato PEM. VMware supporta PKCS8 e PKCS1 (chiavi RSA). Le chiavi che vengono aggiunte a VECS vengono convertite in PKCS8.
- x509 versione 3
- SubjectAltName deve contenere DNS Name=machine_FQDN
- Formato CRT
- Contiene i seguenti utilizzi delle chiavi: Firma digitale, Crittografia chiave.
- Ad eccezione del certificato utente della soluzione vpxd-extension, il campo Extended Key Usage può essere vuoto o contenere Autenticazione server.
- Certificati con caratteri jolly.
- Gli algoritmi md2WithRSAEncryption, md5WithRSAEncryption, RSASSA-PSS, dsaWithSHA1, ecdsa_with_SHA1 e sha1WithRSAEncryption non sono supportati.
- Quando si crea un certificato SSL della macchina personalizzato per vCenter Server, l'autenticazione del server e l'autenticazione del client non sono supportate e devono essere rimosse quando si utilizzano i modelli dell'autorità di certificazione (CA) Microsoft. Per ulteriori informazioni, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2112009.
Conformità del certificato di vSphere alla specifica RFC 2253
Il certificato deve essere conforme alla specifica RFC 2253.
Se la richiesta CSR non viene generata tramite vSphere Certificate Manager, assicurarsi che includa i seguenti campi.
| Stringa | Tipo di attributo X.500 |
|---|---|
| CN | commonName |
| L | localityName |
| ST | stateOrProvinceName |
| O | organizationName |
| OU | organizationalUnitName |
| C | countryName |
| STREET | streetAddress |
| DC | domainComponent |
| UID | userid |
- La password dell'utente [email protected] o dell'amministratore del dominio di vCenter Single Sign-On a cui ci si sta connettendo.
- Informazioni che vSphere Certificate Manager archivia nel file certool.cfg. Per la maggior parte dei campi, è possibile accettare i valori predefiniti o fornire valori specifici del sito. L'FQDN della macchina è obbligatorio.
- Password per [email protected]
- Codice paese a due lettere
- Nome azienda
- Nome organizzazione
- Unità organizzativa
- Stato
- Località
- Indirizzo IP (facoltativo)
- Indirizzo e-mail
- Nome host, ovvero il nome dominio completo della macchina per cui si desidera sostituire il certificato. Se il nome host non corrisponde all'FQDN, la sostituzione del certificato non viene completata correttamente e l'ambiente potrebbe risultare instabile.
- Indirizzo IP del nodo di vCenter Server in cui viene eseguita l'utilità vSphere Certificate Manager.
Requisiti dei certificati quando si utilizza VMCA come autorità di certificazione intermedia
Quando si utilizza VMCA come CA intermedia, i certificati devono soddisfare i requisiti seguenti.
| Tipo di certificato | Requisiti dei certificati |
|---|---|
| Certificato root |
|
| Certificato SSL della macchina | La richiesta CSR può essere creata manualmente o tramite vSphere Certificate Manager. La richiesta CSR creata manualmente deve soddisfare i requisiti elencati in precedenza in Requisiti per tutti i certificati di vSphere importati. È inoltre necessario specificare l'FQDN per l'host. |
| Certificato utente della soluzione | La richiesta CSR può essere creata manualmente o tramite vSphere Certificate Manager.
Nota: L'attributo "Nome" dovrà avere un valore diverso per ogni utente della soluzione. A seconda dello strumento utilizzato per generare il certificato manualmente, questo attributo potrebbe essere visualizzato come
CN in
Oggetto.
Se si utilizza vSphere Certificate Manager, lo strumento richiede di specificare le informazioni sui certificati per ogni utente della soluzione. vSphere Certificate Manager archivia le informazioni in certool.cfg. Per l'utente della soluzione vpxd-extension, è possibile lasciare vuoto il campo Extended Key Usage o utilizzare "Autenticazione client TLS WWW". |
Requisiti per l'utilizzo di certificati personalizzati
Se si desidera utilizzare certificati personalizzati, devono soddisfare i requisiti seguenti.
| Tipo di certificato | Requisiti dei certificati |
|---|---|
| Certificato SSL della macchina | Il certificato SSL della macchina in ogni nodo deve disporre di un certificato separato emesso dall'autorità di certificazione (CA) aziendale o di terze parti.
|
| Certificato utente della soluzione | Ogni utente della soluzione in ciascun nodo deve disporre di un certificato distinto emesso dall'autorità di certificazione aziendale o di terze parti.
Quando in seguito si sostituiranno i certificati utente della soluzione con certificati personalizzati, sarà necessario fornire la catena di certificati di firma completa dell'autorità di certificazione di terze parti. Per l'utente della soluzione vpxd-extension, è possibile lasciare vuoto il campo Extended Key Usage o utilizzare "Autenticazione client TLS WWW". |
