您可以使用 vSphere Certificate Manager 產生憑證簽署要求 (CSR)。然後將這些 CSR 提交至企業 CA 或外部憑證授權機構進行簽署。您可以將簽署的憑證與其他受支援憑證取代程序搭配使用。

  • 您可以使用 vSphere Certificate Manager 建立 CSR。
  • 如果您偏好手動建立 CSR,則傳送要求簽署的憑證必須符合下列需求:
    • 金鑰大小:2048 位元或以上
    • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
    • x509 第 3 版
    • 若使用自訂憑證,CA 延伸必須設為 true (若為根憑證),且憑證簽署必須位於需求清單中。
    • 必須啟用 CRL 簽署。
    • 增強金鑰使用方法可以為空白或包含伺服器驗證。
    • 對憑證鏈結的長度無明確限制。VMCA 預設使用 OpenSSL (為 10 個憑證)。
    • 不支援含萬用字元或多個 DNS 名稱的憑證。
    • 您無法建立 VMCA 的附屬 CA。

      如需使用 Microsoft 憑證授權機構的範例,請參閱 VMware 知識庫文章「建立 Microsoft 憑證授權機構範本」(網址為 http://kb.vmware.com/kb/2112009),用於在 vSphere 6.0 中建立 SSL 憑證。

必要條件

vSphere Certificate Manager 會提示您輸入資訊。這些提示取決於您的環境和想要取代的憑證類型。

每次要產生 CSR 時,系統都會提示您輸入 [email protected] 使用者的密碼,或所連線之 vCenter Single Sign-On 網域的管理員。

程序

  1. 執行 vSphere Certificate Manager。
    作業系統 命令
    Windows
    cd "C:\Program Files\VMware\vCenter Server\vmcad"
    certificate-manager
    Linux /usr/lib/vmware-vmca/bin/certificate-manager
  2. 選取選項 2。
    剛開始時您可以使用此選項產生 CSR,而不是取代憑證。
  3. 提供密碼以及 Platform Services Controller IP 位址或主機名稱 (如果出現此提示)。
  4. 選取選項 1 來產生 CSR 並回應提示。
    在程序過程中,您必須提供目錄。Certificate Manager 會將待簽署的憑證 ( *.csr 檔案) 及對應的金鑰檔案 ( *.key 檔案) 存放在目錄中。
  5. 命名憑證簽署要求 (CSR) root_signing_cert.csr
  6. 將 CSR 傳送到企業或外部 CA 進行簽署,然後命名產生的已簽署憑證 root_signing_cert.cer
  7. 在文字編輯器中,按以下方式合併憑證。
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  8. 將檔案儲存為 root_signing_chain.cer

下一步

將現有根憑證取代為鏈結的根憑證。請參閱將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證