您可以使用 vSphere Certificate Manager 產生憑證簽署要求 (CSR)。然後將這些 CSR 提交至企業 CA 或外部憑證授權機構進行簽署。您可以將簽署的憑證與其他受支援憑證取代程序搭配使用。

開始之前

vSphere Certificate Manager 會提示您輸入資訊。這些提示取決於您的環境和想要取代的憑證類型。

每次要產生 CSR 時,系統都會提示您輸入 administrator@vsphere.local 使用者的密碼,或所連線之 vCenter Single Sign-On 網域的管理員。

執行這項作業的原因和時機

  • 您可以使用 vSphere Certificate Manager 建立 CSR。

  • 如果您偏好手動建立 CSR,則傳送要求簽署的憑證必須符合下列需求:

    • 金鑰大小:2048 位元或以上

    • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8

    • x509 第 3 版

    • 若使用自訂憑證,CA 延伸必須設為 true (若為根憑證),且憑證簽署必須位於需求清單中。

    • 必須啟用 CRL 簽署。

    • [增強金鑰使用方法] 不得包含 [用戶端驗證] 或 [伺服器驗證]。

    • 對憑證鏈結的長度無明確限制。VMCA 預設使用 OpenSSL (為 10 個憑證)。

    • 不支援含萬用字元或多個 DNS 名稱的憑證。

    • 您無法建立 VMCA 的附屬 CA。

      如需 Microsoft 憑證授權機構的使用範例,請參閱 VMware 知識庫文章 2112009,建立 Microsoft 憑證授權機構範本,用於在 vSphere 6.0 中建立 SSL 憑證。

程序

  1. 啟動 vSphere Certificate Manager 並選取選項 2。

    剛開始時您可以使用此選項產生 CSR,而不是取代憑證。

  2. 提供密碼以及 Platform Services Controller IP 位址或主機名稱 (如果出現此提示)。
  3. 選取選項 1 來產生 CSR 並回應提示。

    在程序過程中,您必須提供目錄。Certificate Manager 會將待簽署的憑證 (*.csr 檔案) 及對應的金鑰檔案 (*.key 檔案) 存放在目錄中。

  4. 將憑證發送至 CA 以簽署至企業或外部 CA,並將檔案命名為 root_signing_cert.cer
  5. 在文字編輯器中,按以下方式合併憑證。
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  6. 將檔案儲存為 root_signing_chain.cer

下一步

將現有根憑證取代為鏈結的根憑證。請參閱將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證