搭配 VMware Aria Operations 使用的憑證必須符合特定需求。自訂憑證為選用功能,且不會影響 VMware Aria Operations 功能。您也可以在 VMware Aria Operations 中使用萬用字元憑證。
自訂憑證的需求
自訂 VMware Aria Operations 憑證必須滿足下列需求。
- 如果憑證由一系列其他憑證簽署,則憑證檔案必須包含終端機 (分葉) 伺服器憑證、私密金鑰與所有核發的憑證。
- 在檔案中,分葉憑證必須為憑證順序的首位。在分葉憑證之後的順序則無影響。
- 在檔案中,所有憑證與私密金鑰必須為 PEM 格式。VMware Aria Operations 不支援 PFX、PKCS12、PKCS7 或其他格式的憑證。
- 在檔案中,所有憑證與私密金鑰都必須採用 PEM 編碼。VMware Aria Operations 不支援 DER 編碼的憑證或私密金鑰。
PEM 編碼是 Base 64 ASCII,包含清楚的 BEGIN 與 END 標記,而 DER 為二進位格式。此外,副檔名可能會與編碼不相符。例如,一般的 .cer 副檔名可能會搭配 PEM 或 DER 使用。若要確認編碼格式,請使用文字編輯器檢查憑證檔案。
- 副檔名必須為 .pem。
- 私密金鑰必須由 RSA 或 DSA 演算法產生。
- 私密金鑰可以使用複雜密碼進行加密。所產生的憑證可以使用主要節點組態精靈或管理介面來上傳。
- 此 VMware Aria Operations 版本中的 REST API 支援經由複雜密碼加密的私密金鑰。
- VMware Aria Operations 憑證的主體別名 (SAN) 副檔名中必須包含 IP 和主機名稱。
例如,主體別名包含 DNS 名稱 localhost 和 IP 位址 127.0.0.1。
- 所有節點上的 VMware Aria Operations Web 伺服器將擁有相同的憑證檔案,所以其必須對所有節點有效。使憑證對多個位址有效的一個方法是使用多個主題替代名稱 (Subject Alternative Name, SAN) 項目。
- SHA1 憑證產生瀏覽器相容性問題。因此,請確保所有已建立並上傳至 VMware Aria Operations 的憑證皆使用 SHA2 或更新版本簽署。
- VMware Aria Operations 支援金鑰長度最高為 8192 位元的自訂安全憑證。嘗試上傳以長度超過 8192 位元之較強金鑰所產生的安全憑證時,就會顯示錯誤。
備註: 使用 UTF-8 編碼填寫憑證延伸欄位。
vRealize Operations Manager 6.x 無法接受及套用自訂 CA 憑證。如需詳細資訊,請參閱下列知識庫文章:2046591。