視您是否將 VMCA 做為中繼 CA 使用或您使用的為自訂憑證而定,憑證需求會有所不同。機器憑證和解決方案使用者憑證的需求也不盡相同。
登入前,請確保您環境中所有節點的時間均已同步。
所有匯入憑證的需求
- 金鑰大小:2048 位元或以上 (PEM 編碼)
- PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。將金鑰新增到 VECS 之後,系統會將其轉換為 PKCS8。
- x509 第 3 版
- SubjectAltName 必須包含 DNS Name=machine_FQDN
- CRT 格式
- 包含下列金鑰使用方法:數位簽章、金鑰編密。
- 增強金鑰使用方法可以為空白或包含伺服器驗證。
- 含有萬用字元的憑證
- 不建議使用的演算法包括 md2WithRSAEncryption 1.2.840.113549.1.1.2、md5WithRSAEncryption 1.2.840.113549.1.1.4 和 sha1WithRSAEncryption 1.2.840.113549.1.1.5。
- 不支援 OID 為 1.2.840.113549.1.1.10 的演算法 RSASSA-PSS。
符合 RFC 2253 的憑證
憑證必須符合 RFC 2253。
如果您不使用 Certificate Manager 產生 CSR,請確保 CSR 包含以下欄位。
字串 | X.500 屬性類型 |
---|---|
CN | commonName |
L | localityName |
ST | stateOrProvinceName |
O | organizationName |
OU | organizationalUnitName |
C | countryName |
STREET | streetAddress |
DC | domainComponent |
UID | userid |
- [email protected] 使用者的密碼,或您要連線的 vCenter Single Sign-On 網域的管理員密碼。
- 如果您是使用外部 Platform Services Controller 在環境中產生 CSR,系統會提示您輸入 Platform Services Controller 的主機名稱或 IP 位址。
- Certificate Manager 儲存在 certool.cfg 檔案中的資訊。對於大部分的欄位,您可以接受預設值,或提供站台專屬值。機器的 FQDN 為必填。
- [email protected] 的密碼。
- 兩個字母形式的國碼
- 公司名稱
- 組織名稱
- 組織單位
- 狀態
- 位置
- IP 位址 (選用)
- 電子郵件
- 主機名稱,即要進行憑證取代之機器的完整網域名稱。如果主機名稱與 FQDN 不相符,憑證取代就無法正確完成,而您的環境可能會最終處於不穩定狀態。
- Platform Services Controller 的 IP 位址 (如果您在 vCenter Server 管理節點上執行命令)。
將 VMCA 作為中繼 CA 使用時的需求
憑證類型 | 憑證需求 |
---|---|
根憑證 |
|
機器 SSL 憑證 | 您可以使用 vSphere Certificate Manager 建立 CSR 或手動建立 CSR。 如果您手動建立 CSR,則其必須符合上述所有匯入憑證的需求中所列的需求。您也必須指定主機的 FQDN。 |
解決方案使用者憑證 | 您可以使用 vSphere Certificate Manager 建立 CSR 或手動建立 CSR。
備註: 每位解決方案使用者必須使用不同的名稱。如果您手動產生憑證,則
主體下可能顯示為
CN,視您使用的工具而定。
如果您使用 vSphere Certificate Manager,則工具會提示您輸入每位解決方案使用者的憑證資訊。vSphere Certificate Manager 會將資訊儲存在 certool.cfg 中。請參閱 Certificate Manager 提示輸入的資訊。 |
自訂憑證的需求
憑證類型 | 憑證需求 |
---|---|
機器 SSL 憑證 | 每個節點上的機器 SSL 憑證必須具有與第三方或企業 CA 不同的獨立憑證。
|
解決方案使用者憑證 | 各節點上的每個解決方案使用者必須具有與第三方或企業 CA 不同的獨立憑證。
之後當您使用自訂憑證取代解決方案使用者憑證時,請提供第三方 CA 的完整簽署憑證鏈結。 |