視您是否將 VMCA 做為中繼 CA 使用或您使用的為自訂憑證而定,憑證需求會有所不同。機器憑證和解決方案使用者憑證的需求也不盡相同。

登入前,請確保您環境中所有節點的時間均已同步。

所有匯入憑證的需求

  • 金鑰大小:2048 位元或以上 (PEM 編碼)

  • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。將金鑰新增到 VECS 之後,系統會將其轉換為 PKCS8。

  • x509 第 3 版

  • SubjectAltName 必須包含 DNS Name=machine_FQDN

  • CRT 格式

  • 包含下列金鑰使用方法:數位簽章、不可否認性、金鑰編密。

  • 用戶端驗證和伺服器驗證無法在 [增強金鑰使用方法] 下顯示。

VMCA 不支援以下憑證。

  • 含有萬用字元的憑證

  • 不建議使用的演算法包括 md2WithRSAEncryption 1.2.840.113549.1.1.2、md5WithRSAEncryption 1.2.840.113549.1.1.4 和 sha1WithRSAEncryption 1.2.840.113549.1.1.5。

  • 不支援 OID 為 1.2.840.113549.1.1.10 的演算法 RSASSA-PSS。

符合 RFC 2253 的憑證

憑證必須符合 RFC 2253。

如果您不使用 Certificate Manager 產生 CSR,請確保 CSR 包含以下欄位。

字串

X.500 屬性類型

CN

commonName

L

localityName

ST

stateOrProvinceName

O

organizationName

OU

organizationalUnitName

C

countryName

STREET

streetAddress

DC

domainComponent

UID

userid

如果您使用 Certificate Manager 產生 CSR,系統會提示您輸入以下資訊,而且 Certificate Manager 會將對應欄位新增至 CSR 檔案。

  • administrator@vsphere.local 使用者的密碼,或您要連線的 vCenter Single Sign-On 網域的管理員密碼。

  • 如果您是使用外部 Platform Services Controller 在環境中產生 CSR,系統會提示您輸入 Platform Services Controller 的主機名稱或 IP 位址。

  • Certificate Manager 儲存在 certool.cfg 檔案中的資訊。對於大部分的欄位,您可以接受預設值,或提供站台專屬值。機器的 FQDN 為必填。

    • administrator@vsphere.local 的密碼。

    • 兩個字母形式的國碼

    • 公司名稱

    • 組織名稱

    • 組織單位

    • 狀態

    • 位置

    • IP 位址 (選用)

    • 電子郵件

    • 主機名稱,即要進行憑證取代之機器的完整網域名稱。如果主機名稱與 FQDN 不相符,憑證取代就無法正確完成,而您的環境可能會最終處於不穩定狀態。

    • Platform Services Controller 的 IP 位址 (如果您在 vCenter Server 管理節點上執行命令)

將 VMCA 作為中繼 CA 使用時的需求

當您將 VMCA 作為中繼 CA 使用時,憑證必須符合以下需求。

憑證類型

憑證需求

根憑證

  • 您可以使用 vSphere Certificate Manager 建立 CSR。請參閱使用 vSphere Certificate Manager 產生 CSR 並準備根憑證 (中繼 CA)

  • 如果您偏好手動建立 CSR,則傳送要求簽署的憑證必須符合下列需求:

    • 金鑰大小:2048 位元或以上

    • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8

    • x509 第 3 版

    • 若使用自訂憑證,CA 延伸必須設為 true (若為根憑證),且憑證簽署必須位於需求清單中。

    • 必須啟用 CRL 簽署。

    • [增強金鑰使用方法] 不得包含 [用戶端驗證] 或 [伺服器驗證]。

    • 對憑證鏈結的長度無明確限制。VMCA 預設使用 OpenSSL (為 10 個憑證)。

    • 不支援含萬用字元或多個 DNS 名稱的憑證。

    • 您無法建立 VMCA 的附屬 CA。

      如需 Microsoft 憑證授權機構的使用範例,請參閱 VMware 知識庫文章 2112009,建立 Microsoft 憑證授權機構範本,用於在 vSphere 6.0 中建立 SSL 憑證。

機器 SSL 憑證

您可以使用 vSphere Certificate Manager 建立 CSR 或手動建立 CSR。

如果您手動建立 CSR,則其必須符合上述所有匯入憑證的需求中所列的需求。您也必須指定主機的 FQDN。

解決方案使用者憑證

您可以使用 vSphere Certificate Manager 建立 CSR 或手動建立 CSR。

備註︰

每位解決方案使用者必須使用不同的名稱。如果您手動產生憑證,則主體下可能顯示為 CN,視您使用的工具而定。

如果您使用 vSphere Certificate Manager,則工具會提示您輸入每位解決方案使用者的憑證資訊。vSphere Certificate Manager 會將資訊儲存在 certool.cfg 中。請參閱 Certificate Manager 提示輸入的資訊

自訂憑證的需求

當您要使用自訂憑證時,憑證必須符合以下需求。

憑證類型

憑證需求

機器 SSL 憑證

每個節點上的機器 SSL 憑證必須具有與第三方或企業 CA 不同的獨立憑證。

  • 您可以使用 vSphere Certificate Manager 產生 CSR,也可以手動建立 CSR。CSR 必須符合上述所有匯入憑證的需求中所列的需求。

  • 如果您使用 vSphere Certificate Manager,則工具會提示您輸入每位解決方案使用者的憑證資訊。vSphere Certificate Manager 會將資訊儲存在 certool.cfg 中。請參閱 Certificate Manager 提示輸入的資訊

  • 對於大部分的欄位,您可以接受預設值,或提供站台專屬值。機器的 FQDN 為必填。

解決方案使用者憑證

各節點上的每個解決方案使用者必須具有與第三方或企業 CA 不同的獨立憑證。

  • 您可以使用 vSphere Certificate Manager 產生 CSR,也可以自行準備 CSR。CSR 必須符合上述所有匯入憑證的需求中所列的需求。

  • 如果您使用 vSphere Certificate Manager,則工具會提示您輸入每位解決方案使用者的憑證資訊。vSphere Certificate Manager 會將資訊儲存在 certool.cfg 中。請參閱 Certificate Manager 提示輸入的資訊

    備註︰

    每位解決方案使用者必須使用不同的名稱。如果您手動產生憑證,則主體下可能顯示為 CN,視您使用的工具而定。

之後當您使用自訂憑證取代解決方案使用者憑證時,請提供第三方 CA 的完整簽署憑證鏈結。

備註︰

請勿在任何自訂憑證中使用 CRL 發佈點、授權資訊存取或憑證範本資訊。