視您是否將 VMCA 做為中繼 CA 使用或您使用的為自訂憑證而定,憑證需求會有所不同。機器憑證和解決方案使用者憑證的需求也不盡相同。

登入前,請確保您環境中所有節點的時間均已同步。

所有匯入憑證的需求

  • 金鑰大小:2048 位元或以上 (PEM 編碼)
  • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。將金鑰新增到 VECS 之後,系統會將其轉換為 PKCS8。
  • x509 第 3 版
  • SubjectAltName 必須包含 DNS Name=machine_FQDN
  • CRT 格式
  • 包含下列金鑰使用方法:數位簽章、金鑰編密。
  • 增強金鑰使用方法可以為空白或包含伺服器驗證。
vSphere 不支援以下憑證。
  • 具有萬用字元的憑證。
  • 不建議使用的演算法包括 md2WithRSAEncryption 1.2.840.113549.1.1.2、md5WithRSAEncryption 1.2.840.113549.1.1.4 和 sha1WithRSAEncryption 1.2.840.113549.1.1.5。
  • 不支援 OID 為 1.2.840.113549.1.1.10 的演算法 RSASSA-PSS。

符合 RFC 2253 的憑證

憑證必須符合 RFC 2253。

如果您不使用 Certificate Manager 產生 CSR,請確保 CSR 包含以下欄位。

字串 X.500 屬性類型
CN commonName
L localityName
ST stateOrProvinceName
O organizationName
OU organizationalUnitName
C countryName
STREET streetAddress
DC domainComponent
UID userid
如果您使用 Certificate Manager 產生 CSR,系統會提示您輸入以下資訊,而且 Certificate Manager 會將對應欄位新增至 CSR 檔案。
  • [email protected] 使用者的密碼,或您要連線的 vCenter Single Sign-On 網域的管理員密碼。
  • 如果您是使用外部 Platform Services Controller 在環境中產生 CSR,系統會提示您輸入 Platform Services Controller 的主機名稱或 IP 位址。
  • Certificate Manager 儲存在 certool.cfg 檔案中的資訊。對於大部分的欄位,您可以接受預設值,或提供站台專屬值。機器的 FQDN 為必填。
    • [email protected] 的密碼。
    • 兩個字母形式的國碼
    • 公司名稱
    • 組織名稱
    • 組織單位
    • 狀態
    • 位置
    • IP 位址 (選用)
    • 電子郵件
    • 主機名稱,即要進行憑證取代之機器的完整網域名稱。如果主機名稱與 FQDN 不相符,憑證取代就無法正確完成,而您的環境可能會最終處於不穩定狀態。
    • Platform Services Controller 的 IP 位址 (如果您在 vCenter Server 管理節點上執行命令)。

將 VMCA 作為中繼 CA 使用時的需求

當您將 VMCA 作為中繼 CA 使用時,憑證必須符合以下需求。
憑證類型 憑證需求
根憑證
  • 您可以使用 vSphere Certificate Manager 建立 CSR。請參閱使用 vSphere Certificate Manager 產生 CSR 並準備根憑證 (中繼 CA)
  • 如果您偏好手動建立 CSR,則傳送要求簽署的憑證必須符合下列需求:
    • 金鑰大小:2048 位元或以上
    • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
    • x509 第 3 版
    • 若使用自訂憑證,CA 延伸必須設為 true (若為根憑證),且憑證簽署必須位於需求清單中。
    • 必須啟用 CRL 簽署。
    • 增強金鑰使用方法可以為空白或包含伺服器驗證。
    • 對憑證鏈結的長度無明確限制。VMCA 預設使用 OpenSSL (為 10 個憑證)。
    • 不支援含萬用字元或多個 DNS 名稱的憑證。
    • 您無法建立 VMCA 的附屬 CA。

      如需使用 Microsoft 憑證授權機構的範例,請參閱 VMware 知識庫文章「建立 Microsoft 憑證授權機構範本」(網址為 http://kb.vmware.com/kb/2112009),用於在 vSphere 6.0 中建立 SSL 憑證。

機器 SSL 憑證

您可以使用 vSphere Certificate Manager 建立 CSR 或手動建立 CSR。

如果您手動建立 CSR,則其必須符合上述所有匯入憑證的需求中所列的需求。您也必須指定主機的 FQDN。

解決方案使用者憑證

您可以使用 vSphere Certificate Manager 建立 CSR 或手動建立 CSR。

備註: 每位解決方案使用者必須使用不同的名稱。如果您手動產生憑證,則 主體下可能顯示為 CN,視您使用的工具而定。

如果您使用 vSphere Certificate Manager,則工具會提示您輸入每位解決方案使用者的憑證資訊。vSphere Certificate Manager 會將資訊儲存在 certool.cfg 中。請參閱 Certificate Manager 提示輸入的資訊

自訂憑證的需求

當您要使用自訂憑證時,憑證必須符合以下需求。
憑證類型 憑證需求
機器 SSL 憑證 每個節點上的機器 SSL 憑證必須具有與第三方或企業 CA 不同的獨立憑證。
  • 您可以使用 vSphere Client 或 vSphere Certificate Manager 產生 CSR,也可以手動建立 CSR。CSR 必須符合上述所有匯入憑證的需求中所列的需求。
  • 如果您使用 vSphere Certificate Manager,則工具會提示您輸入每位解決方案使用者的憑證資訊。vSphere Certificate Manager 會將資訊儲存在 certool.cfg 中。請參閱 Certificate Manager 提示輸入的資訊
  • 對於大部分的欄位,您可以接受預設值,或提供站台專屬值。機器的 FQDN 為必填。
解決方案使用者憑證 各節點上的每個解決方案使用者必須具有與第三方或企業 CA 不同的獨立憑證。
  • 您可以使用 vSphere Certificate Manager 產生 CSR,也可以自行準備 CSR。CSR 必須符合上述所有匯入憑證的需求中所列的需求。
  • 如果您使用 vSphere Certificate Manager,則工具會提示您輸入每位解決方案使用者的憑證資訊。vSphere Certificate Manager 會將資訊儲存在 certool.cfg 中。請參閱 Certificate Manager 提示輸入的資訊

    備註: 每位解決方案使用者必須使用不同的名稱。手動產生的憑證在 主體下可能顯示為 CN,視您使用的工具而定。

之後當您使用自訂憑證取代解決方案使用者憑證時,請提供第三方 CA 的完整簽署憑證鏈結。

備註: 請勿在任何自訂憑證中使用 CRL 發佈點、授權資訊存取或憑證範本資訊。