您可以使用 vSphere Certificate Manager 產生憑證簽署要求 (CSR)。然後將這些 CSR 提交至企業 CA 或外部憑證授權機構進行簽署。您可以將簽署的憑證與其他受支援憑證取代程序搭配使用。
- 您可以使用 vSphere Certificate Manager 建立 CSR。
- 如果您偏好手動建立 CSR,則傳送要求簽署的憑證必須符合下列需求:
- 金鑰大小:2048 位元 (下限) 至 16384 位元 (上限) (PEM 編碼)
- PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
- x509 第 3 版
- 對於根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。例如:
basicConstraints = critical,CA:true keyUsage = critical,digitalSignature,keyCertSign
- 必須啟用 CRL 簽署。
- [延伸金鑰使用方法] 可以為空白或包含伺服器驗證。
- 對憑證鏈結的長度無明確限制。VMCA 預設使用 OpenSSL (為 10 個憑證)。
- 不支援含萬用字元或多個 DNS 名稱的憑證。
- 您無法建立 VMCA 的附屬 CA。
如需使用 Microsoft 憑證授權機構的範例,請參閱 VMware 知識庫文章:Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x (在 vSphere 6.x 中建立 Microsoft 憑證授權機構範本以建立 SSL 憑證),網址為 http://kb.vmware.com/kb/2112009。
必要條件
vSphere Certificate Manager 會提示您輸入資訊。這些提示取決於您的環境和想要取代的憑證類型。
每次要產生 CSR 時,系統都會提示您輸入 [email protected] 使用者的密碼,或所連線之 vCenter Single Sign-On 網域的管理員。
程序
下一步
將現有根憑證取代為鏈結的根憑證。請參閱將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證。