可以使用 vSphere Certificate Manager 公用程式將 VMCA 設為中繼 CA。完成此程序後,VMCA 會簽署所有具有完整鏈結的新憑證。如果需要,您可以使用 vSphere Certificate Manager 將所有現有憑證取代為新的 VMCA 簽署的憑證。

VMware 不建議將 VMCA 作為下層 (或中繼) 憑證授權機構。如果您選擇此選項,可能會遇到非常複雜的問題,且可能對安全性產生負面影響,並且增加不必要的運作風險。如需有關在 vSphere 環境中管理憑證的詳細資訊,請參閱標題為〈新產品逐步解說 - 混合 vSphere SSL 憑證取代〉的部落格文章,網址為:http://vmware.com/go/hybridvmca

若要使 VMCA 成為中繼 CA,必須多次執行 vSphere Certificate Manager。取代機器 SSL 憑證和解決方案使用者憑證的高層級步驟包括:

  1. 啟動 vSphere Certificate Manager 公用程式。
  2. 選取選項 2 [將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證] 以產生 CSR。您稍後可能需要提供憑證的部分相關資訊。再次提示選取選項時,選取選項 1 [為 VMCA 根簽署憑證產生憑證簽署要求和金鑰]。
  3. 將 CSR 提交至外部或企業 CA。您會從 CA 收到一個已簽署的憑證和一個根憑證。
  4. 合併 VMCA 根憑證和 CA 根憑證,然後儲存檔案。
  5. 選取選項 2 [將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證],然後按照提示取代憑證。此程序會取代本機上的所有憑證。
  6. (可選) 在增強型連結模式組態中連線多個 vCenter Server 執行個體時,按照以下步驟取代每個節點上的憑證:
    1. 首先,將機器 SSL 憑證取代為新的 VMCA 憑證 (選項 3 [將機器 SSL 憑證取代為 VMCA 憑證])。
    2. 然後,將解決方案使用者憑證取代為新的 VMCA 憑證 (選項 6 [將解決方案使用者憑證取代為 VMCA 憑證])。

使用 Certificate Manager 產生 CSR 並準備根憑證 (中繼 CA)

您可以使用 vSphere Certificate Manager 公用程式產生憑證簽署要求 (CSR)。然後將這些 CSR 提交至企業 CA 或外部憑證授權機構進行簽署。您可以將簽署的憑證與其他受支援憑證取代程序搭配使用。

  • 您可以使用 vSphere Certificate Manager 建立 CSR。
    備註: 在 vSphere 8.0 及更新版本中,如果使用 vSphere Certificate Manager 產生 CSR,則金鑰大小下限將從 2048 位元變更為 3072 位元。在 vSphere 8.0 Update 1 中,使用 vSphere Client 產生金鑰大小為 2048 位元的 CSR。
    備註: vSphere 的 FIPS 憑證僅驗證 2048 位元和 3072 位元的 RSA 金鑰大小。
  • 如果您偏好手動建立 CSR,則傳送要求簽署的憑證必須符合下列需求:
    • 金鑰大小:2048 位元 (下限) 至 16384 位元 (上限) (PEM 編碼)
    • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
    • x509 第 3 版
    • 對於根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。例如:
      basicConstraints        = critical,CA:true
      keyUsage                = critical,digitalSignature,keyCertSign
    • 必須啟用 CRL 簽署。
    • [延伸金鑰使用方法] 可以為空白或包含伺服器驗證。
    • 對憑證鏈結的長度無明確限制。VMCA 預設使用 OpenSSL (為 10 個憑證)。
    • 不支援含萬用字元或多個 DNS 名稱的憑證。
    • 您無法建立 VMCA 的附屬 CA。

      如需使用 Microsoft 憑證授權機構的範例,請參閱 VMware 知識庫文章:Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x (在 vSphere 6.x 中建立 Microsoft 憑證授權機構範本以建立 SSL 憑證),網址為 http://kb.vmware.com/kb/2112009

必要條件

vSphere Certificate Manager 會提示您輸入資訊。這些提示取決於您的環境和想要取代的憑證類型。

每次要產生 CSR 時,系統都會提示您輸入 administrator@vsphere.local 使用者的密碼,或所連線之 vCenter Single Sign-On 網域的管理員。

程序

  1. 登入 vCenter Server shell,然後啟動 vSphere Certificate Manager。
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 選取選項 2 [將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證]。
    剛開始時您可以使用此選項產生 CSR,而不是取代憑證。
  3. 輸入管理員使用者和密碼。
  4. 選取選項 1 [為 VMCA 根簽署憑證產生憑證簽署要求和金鑰],以產生 CSR 並回應提示。
    在程序過程中,您必須提供目錄。vSphere Certificate Manager 會將待簽署的憑證 ( *.csr 檔案) 及對應的金鑰檔案 ( *.key 檔案) 放置於目錄中。
  5. 命名憑證簽署要求 (CSR) root_signing_cert.csr
  6. 將 CSR 傳送到企業或外部 CA 進行簽署,然後命名產生的已簽署憑證 root_signing_cert.cer
  7. 在文字編輯器中,按以下方式合併憑證。
    -----BEGIN CERTIFICATE-----
    Signed VMCA root certificate
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    CA intermediate certificates
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root certificate of enterprise or external CA
    -----END CERTIFICATE-----
  8. 將檔案儲存為 root_signing_chain.cer

下一步

將現有根憑證取代為鏈結的根憑證。請參閱使用 Certificate Manager 將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證

使用 Certificate Manager 將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證

您可以使用 vSphere Certificate Manager 公用程式產生 CSR 並將其傳送至企業或第三方 CA 進行簽署。然後,您可以將 VMCA 根憑證取代為自訂簽署憑證,並將所有現有的憑證取代為自訂 CA 所簽署的憑證。

您可以在 vCenter Server上執行 vSphere Certificate Manager,將 VMCA 根憑證取代為自訂簽署憑證。

必要條件

  • 產生憑證鏈結。
    • 您可以使用 vSphere Certificate Manager 建立 CSR 或手動建立 CSR。
    • 當您從第三方或企業 CA 收到已簽署的憑證後,將它與初始 VMCA 根憑證合併,以建立完整鏈結。

      如需憑證需求和憑證合併程序的相關資訊,請參閱使用 Certificate Manager 產生 CSR 並準備根憑證 (中繼 CA)

  • 收集所需的資訊。
    • administrator@vsphere.local 的密碼
    • 有效的自訂根憑證 (.crt 檔案)
    • 有效的自訂根使用者金鑰 (.key 檔案)

程序

  1. 登入 vCenter Server shell,然後啟動 vSphere Certificate Manager。
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 選取選項 2 [將 VMCA 根憑證取代為自訂簽署憑證並取代所有憑證]。
  3. 輸入管理員使用者和密碼。
  4. 選取選項 2 [匯入自訂憑證和金鑰以取代現有 VMCA 根簽署憑證],然後回應提示。
    1. 出現提示時,指定根憑證的完整路徑。
    2. 如果是第一次取代憑證,系統會提示您輸入用於機器 SSL 憑證的資訊。
      此資訊包含所需的機器 FQDN 並儲存於 certool.cfg 檔案中。

使用 Certificate Manager 將機器 SSL 憑證取代為 VMCA 憑證 (中繼 CA)

將 VMCA 用作中繼 CA 時,可以使用 vSphere Certificate Manager 公用程式明確取代機器 SSL 憑證。首先,取代 vCenter Server 上的 VMCA 根憑證,接著可以取代將由 VMCA 的新根簽署的機器 SSL 憑證。您亦可使用該選項來取代已損壞或即將到期的機器 SSL 憑證。

將現有機器 SSL 憑證取代為新的 VMCA 簽署憑證時,vSphere Certificate Manager 會提示您輸入資訊並將所有值 (除了 vCenter Server 的密碼及 IP 位址) 輸入 certool.cfg 檔案。

  • administrator@vsphere.local 的密碼
  • 兩個字母形式的國碼
  • 公司名稱
  • 組織名稱
  • 組織單位
  • 狀態
  • 位置
  • IP 位址 (選用)
  • 電子郵件
  • 主機名稱,即要進行憑證取代之機器的完整網域名稱。如果主機名稱與 FQDN 不相符,憑證取代就無法正確完成,而您的環境可能會最終處於不穩定狀態。
  • vCenter Server 的 IP 位址
  • VMCA 名稱,即執行憑證組態之機器的完整網域名稱。
備註: OU (organizationalUnitName) 欄位不再為必填欄位。

必要條件

  • 您必須瞭解以下資訊以使用此選項執行 vSphere Certificate Manager。
    • administrator@vsphere.local 的密碼。
    • 您希望產生新 VMCA 簽署憑證之機器的 FQDN。所有其他內容都會預設為預先定義的值,但您可以變更這些值。
    • vCenter Server 系統的主機名稱或 IP 位址。

程序

  1. 登入 vCenter Server shell,然後啟動 vSphere Certificate Manager。
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 選取選項 3 [將機器 SSL 憑證取代為 VMCA 憑證]。
  3. 輸入管理員使用者和密碼。
  4. 對提示做出回應。
    vSphere Certificate Manager 將資訊儲存在 certool.cfg 檔案中。

結果

vSphere Certificate Manager 取代機器 SSL 憑證。

使用 Certificate Manager 將解決方案使用者憑證取代為 VMCA 憑證 (中繼 CA)

將 VMCA 用作中繼 CA 時,可以使用 vSphere Certificate Manager 公用程式明確取代解決方案使用者憑證。首先,取代 vCenter Server 上的 VMCA 根憑證,接著可以取代將由 VMCA 的新根簽署的解決方案使用者憑證。您亦可使用該選項來取代已損壞或即將到期的解決方案憑證。

必要條件

  • 如果您在增強型連結模式組態中由 vCenter Server的多個執行個體組成的部署中取代 VMCA 根憑證,請明確將所有 vCenter Server 節點重新啟動。
  • 您必須瞭解以下資訊以使用此選項執行 vSphere Certificate Manager。
    • administrator@vsphere.local 的密碼
    • vCenter Server系統的主機名稱或 IP 位址

程序

  1. 登入 vCenter Server shell,然後啟動 vSphere Certificate Manager。
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. 選取選項 6 [將解決方案使用者憑證取代為 VMCA 憑證]。
  3. 輸入管理員使用者和密碼。
  4. 對提示做出回應。
    如需詳細資訊,請參閱 VMware 知識庫文章,網址為 http://kb.vmware.com/kb/2112281

結果

vSphere Certificate Manager 將取代所有解決方案使用者憑證。