憑證簽署要求 (CSR) 是一種包含特定資訊 (例如組織名稱、一般名稱、位置和國家/地區) 的加密文字。將 CSR 檔案傳送至憑證授權機構 (CA) 以申請數位身分識別憑證。

依預設,NSX CSR 產生 UI 和 API 不支援 SAN 欄位。若要使用 SAN 建立 CSR,您可以使用實驗 API /api/v1/trust-management/csrs-extended。如需詳細資訊,請參閱《NSX API 指南》

必要條件

若要填寫 CSR 檔案詳細資料,請收集相關資訊。您必須瞭解伺服器和組織單位的 FQDN、組織、城市、州和國家/地區。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取系統 > 憑證
  3. 按一下 CSR 索引標籤。
  4. 按一下產生 CSR,然後從下拉式清單中選取產生 CSR產生 CA CSR
  5. 完成檔案詳細資料。
    選項 說明
    一般名稱

    輸入您伺服器的完整網域名稱 (FQDN)。

    例如,test.vmware.com。

    名稱 指派憑證的名稱。
    組織單位

    輸入您組織中處理此憑證的部門

    例如,IT 部門。

    組織名稱

    輸入組織名稱與適用尾碼。

    例如,VMware Inc。

    位置

    新增您組織所在的城市。

    例如,Palo Alto。

    狀態

    新增您組織所在的州。

    例如,加州。

    國家/地區

    新增貴組織位置。

    例如,美國 (US)。

    演算法

    設定憑證的加密演算法。

    • RSA 加密 - 用於數位簽章及訊息的加密。
    • ECDSA (橢圓曲線數位簽章演算法) 加密 - 用來確保符合 EAL4+ 標準。此演算法的效能比 RSA 演算法更具效率。
    金鑰大小
    設定加密演算法的金鑰位元大小。
    • 對於 RSA,預設值 2048 已足夠,除非您特別需要不同的金鑰大小。其他支援的大小為 3072 和 4096。許多 CA 需要至少 2048 的值。較大的金鑰大小更為安全,但對於效能影響較大。
    • 在 Galois/計數器模式中,ECDSA 通常會使用具有 256 位元金鑰的進階加密標準 (AES 256 GCM)。其他金鑰大小包括 384 位元和 521 位元。
    說明 輸入特定詳細資料以協助您在日後識別此憑證。
  6. 按一下儲存
    自訂 CSR 會顯示為連結。
  7. 選取 CSR,然後按一下動作以選取下列其中一個選項:
    • 刪除
    • 匯入 CSR 的憑證
    • CSR 的自我簽署憑證
    • 下載 CSR PEM

      如果您選取了下載 CSR PEM,您可以儲存 CSR PEM 檔案,以用於記錄和 CA 提交。使用 CSR 檔案的內容以根據 CA 註冊程序將憑證要求提交至 CA。對於另外兩個選項,請參閱匯入 CSR 的憑證建立自我簽署憑證主題。

結果

CA 會根據 CSR 檔案中的資訊建立伺服器憑證、使用其私密金鑰進行簽署,以及將憑證傳送給您。CA 也會將 root CA 憑證傳送給您。