您可以使用 vSphere Certificate Manager 產生憑證簽署要求 (CSR)。然後將這些 CSR 提交至企業 CA 或外部憑證授權機構進行簽署。您可以將簽署的憑證與其他受支援憑證取代程序搭配使用。

執行這項作業的原因和時機

  • 您可以使用 vSphere Certificate Manager 建立 CSR。

  • 如果您偏好手動建立 CSR,則傳送要求簽署的憑證必須符合下列需求:

    • 金鑰大小:2048 位元或以上

    • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8

    • x509 第 3 版

    • 若使用自訂憑證,CA 延伸必須設為 true (若為根憑證),且憑證簽署必須位於需求清單中。

    • 必須啟用 CRL 簽署。

    • [增強金鑰使用方法] 不得包含 [用戶端驗證] 或 [伺服器驗證]。

    • 對憑證鏈結的長度無明確限制。VMCA 預設使用 OpenSSL (為 10 個憑證)。

    • 不支援含萬用字元或多個 DNS 名稱的憑證。

    • 您無法建立 VMCA 的附屬 CA。

      如需 Microsoft 憑證授權機構的使用範例,請參閱 VMware 知識庫文章 2112009,建立 Microsoft 憑證授權機構範本,用於在 vSphere 6.0 中建立 SSL 憑證。

先決條件

vSphere Certificate Manager 會提示您輸入資訊。這些提示取決於您的環境和想要取代的憑證類型。

每次要產生 CSR 時,系統都會提示您輸入 administrator@vsphere.local 使用者的密碼,或所連線之 vCenter Single Sign-On 網域的管理員。

程序

  1. 啟動 vSphere Certificate Manager 並選取選項 2。

    剛開始時您可以使用此選項產生 CSR,而不是取代憑證。

  2. 提供密碼以及 Platform Services Controller IP 位址或主機名稱 (如果出現此提示)。
  3. 選取選項 1 來產生 CSR 並回應提示。

    在程序過程中,您必須提供目錄。Certificate Manager 會將待簽署的憑證 (*.csr 檔案) 及對應的金鑰檔案 (*.key 檔案) 存放在目錄中。

  4. 將憑證發送至 CA 以簽署至企業或外部 CA,並將檔案命名為 root_signing_cert.cer
  5. 在文字編輯器中,按以下方式合併憑證。
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  6. 將檔案儲存為 root_signing_chain.cer

下一步

將現有根憑證取代為鏈結的根憑證。請參閱將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證