您可以將 VMCA 根憑證取代為憑證鏈結中包含 VMCA 做為中繼憑證的 CA 簽署憑證。然後,VMCA 產生的所有憑證都會包含完整鏈結。

開始之前

  • 產生 CSR。

    • 您可以使用 vSphere Certificate Manager 建立 CSR。請參閱使用 vSphere Certificate Manager 產生 CSR 並準備根憑證 (中繼 CA)

    • 如果您偏好手動建立 CSR,則傳送要求簽署的憑證必須符合下列需求:

      • 金鑰大小:2048 位元或以上

      • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8

      • x509 第 3 版

      • 若使用自訂憑證,CA 延伸必須設為 true (若為根憑證),且憑證簽署必須位於需求清單中。

      • 必須啟用 CRL 簽署。

      • [增強金鑰使用方法] 不得包含 [用戶端驗證] 或 [伺服器驗證]。

      • 對憑證鏈結的長度無明確限制。VMCA 預設使用 OpenSSL (為 10 個憑證)。

      • 不支援含萬用字元或多個 DNS 名稱的憑證。

      • 您無法建立 VMCA 的附屬 CA。

        如需 Microsoft 憑證授權機構的使用範例,請參閱 VMware 知識庫文章 2112009,建立 Microsoft 憑證授權機構範本,用於在 vSphere 6.0 中建立 SSL 憑證。

  • 在從第三方或企業 CA 收到憑證後,將它與初始 VMCA 根憑證合併來產生完整鏈結,底部為 VMCA 根憑證。請參閱 使用 vSphere Certificate Manager 產生 CSR 並準備根憑證 (中繼 CA)

  • 收集所需的資訊。

    • administrator@vsphere.local 的密碼。

    • 有效的自訂根憑證 (.crt 檔案)。

    • 有效的自訂根使用者金鑰 (.key 檔案)。

執行這項作業的原因和時機

您可以在內嵌式安裝或外部 Platform Services Controller 上執行 vSphere Certificate Manager,將 VMCA 根憑證取代為自訂簽署憑證。

vSphere Certificate Manager 會提示您輸入下列資訊:

程序

  1. 在內嵌式安裝或外部 Platform Services Controller 上啟動 vSphere Certificate Manager,然後選取選項 2。
  2. 選取選項 2 以啟動憑證取代並回應提示。
    1. 出現提示時,指定根憑證的完整路徑。
    2. 如果是第一次取代憑證,系統會提示您輸入用於機器 SSL 憑證的資訊。

      此資訊包含所需的機器 FQDN 並儲存於 certool.cfg 檔案中。

  3. 如果在多節點部署中取代根憑證,您必須在所有 vCenter Server 上重新啟動服務。
  4. 在多節點部署中,使用選項 3 (將機器 SSL 憑證取代為 VMCA 憑證) 和 6 (將解決方案使用者憑證取代為 VMCA 憑證),在每個 vCenter Server 執行個體上重新產生所有憑證。

    當您取代憑證時,VMCA 會以完整鏈結簽署。

下一步

視您的環境而定,可能必須明確取代其他憑證。