您可以使用 vSphere Certificate Manager 產生憑證簽署要求 (CSR)。然後將這些 CSR 提交至企業 CA 或外部憑證授權機構進行簽署。您可以將簽署的憑證與其他受支援憑證取代程序搭配使用。

  • 您可以使用 vSphere Certificate Manager 建立 CSR。
  • 如果您偏好手動建立 CSR,則傳送要求簽署的憑證必須符合下列需求:
    • 金鑰大小:2048 位元 (下限) 至 16384 位元 (上限) (PEM 編碼)
    • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
    • x509 第 3 版
    • 對於根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。例如:
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • 必須啟用 CRL 簽署。
    • [延伸金鑰使用方法] 可以為空白或包含伺服器驗證。
    • 對憑證鏈結的長度無明確限制。VMCA 預設使用 OpenSSL (為 10 個憑證)。
    • 不支援含萬用字元或多個 DNS 名稱的憑證。
    • 您無法建立 VMCA 的附屬 CA。

      如需使用 Microsoft 憑證授權機構的範例,請參閱 VMware 知識庫文章:Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x (在 vSphere 6.x 中建立 Microsoft 憑證授權機構範本以建立 SSL 憑證),網址為 http://kb.vmware.com/kb/2112009

必要條件

vSphere Certificate Manager 會提示您輸入資訊。這些提示取決於您的環境和想要取代的憑證類型。

每次要產生 CSR 時,系統都會提示您輸入 [email protected] 使用者的密碼,或所連線之 vCenter Single Sign-On 網域的管理員。

程序

  1. 執行 vSphere Certificate Manager。
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 選取選項 2。
    剛開始時您可以使用此選項產生 CSR,而不是取代憑證。
  3. 提供密碼以及 vCenter Server IP 位址或主機名稱 (如果出現此提示)。
  4. 選取選項 1 來產生 CSR 並回應提示。
    在程序過程中,您必須提供目錄。Certificate Manager 會將待簽署的憑證 ( *.csr 檔案) 及對應的金鑰檔案 ( *.key 檔案) 存放在目錄中。
  5. 命名憑證簽署要求 (CSR) root_signing_cert.csr
  6. 將 CSR 傳送到企業或外部 CA 進行簽署,然後命名產生的已簽署憑證 root_signing_cert.cer
  7. 在文字編輯器中,按以下方式合併憑證。 
    -----BEGIN CERTIFICATE-----
Signed VMCA root certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----
  8. 將檔案儲存為 root_signing_chain.cer

下一步

將現有根憑證取代為鏈結的根憑證。請參閱將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證