如果您要使用企業或第三方 CA 簽署憑證或下層 CA 簽署憑證,則必須將憑證簽署要求 (CSR) 傳送到 CA。
使用具有下列特性的 CSR:
- 金鑰大小:2048 位元 (下限) 至 16384 位元 (上限) (PEM 編碼)
- PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
- x509 第 3 版
- 若為根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。
- SubjectAltName 必須包含 DNS Name=<machine_FQDN>。
- CRT 格式
- 包含下列金鑰使用方法:數位簽章、不可否認性、金鑰編密
- 某天的開始時間早於目前時間。
- CN (和 SubjectAltName) 設為 ESXi主機在 vCenter Server 詳細目錄中所擁有的主機名稱 (或 IP 位址)。
vSphere 不支援以下憑證。
- 具有萬用字元的憑證。
- 不支援演算法 md2WithRSAEncryption、md5WithRSAEncryption、RSASSA-PSS、dsaWithSHA1、ecdsa_with_SHA1 和 sha1WithRSAEncryption。
如需產生 CSR 的相關資訊,請參閱 VMware 知識庫文章,網址為:https://kb.vmware.com/s/article/2113926。