憑證需求取決於是使用 VMware Certificate Authority (VMCA) 作為中繼憑證授權機構,還是使用自訂憑證。機器憑證的需求也有所不同。

開始變更憑證之前,請確保 vSphere 環境中所有節點的時間都已同步。

備註: vSphere 僅部署用於伺服器驗證的 RSA 憑證,不支援產生 ECDSA 憑證。 vSphere 將驗證其他伺服器提供的 ECDSA 憑證。例如,如果 vSphere 連線至 syslog 伺服器,並且 syslog 伺服器具有 ECDSA 憑證,則 vSphere 支援驗證該憑證。

所有匯入 vSphere 憑證的需求

  • 金鑰大小:2048 位元 (下限) 至 8192 位元 (上限) (PEM 編碼)。產生憑證簽署要求時,vSphere Client 和 API 仍接受最大為 16384 位元的金鑰大小。
    備註: 在 vSphere 8.0 中,使用 vSphere Client 或 vSphere Certificate Manager 時,只能產生最小金鑰長度為 3072 位元的 CSR。 vCenter Server 仍接受金鑰長度為 2048 位元的自訂憑證。在 vSphere 8.0 Update 1 及更新版本中,可以使用 vSphere Client 產生金鑰長度為 2048 位元的 CSR。
    備註: vSphere 的 FIPS 憑證僅驗證 2048 位元和 3072 位元的 RSA 金鑰大小。
  • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。將金鑰新增到 VECS 之後,系統會將其轉換為 PKCS8。
  • x509 第 3 版
  • SubjectAltName 必須包含 DNS Name=machine_FQDN
  • CRT 格式
  • 包含下列金鑰使用方法:數位簽章、金鑰編密。
  • 免除 vpxd-extension 解決方案使用者憑證,[延伸金鑰使用方法] 可以為空白或包含伺服器驗證。
vSphere 不支援以下憑證。
  • 具有萬用字元的憑證。
  • 不支援演算法 md2WithRSAEncryption、md5WithRSAEncryption、RSASSA-PSS、dsaWithSHA1、ecdsa_with_SHA1 和 sha1WithRSAEncryption。
  • vCenter Server 建立自訂機器 SSL 憑證時,不支援伺服器驗證和用戶端驗證。因此,在使用 Microsoft 憑證授權機構 (CA) 範本時,必須移除這些驗證。如需詳細資訊,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/2112009

vSphere 憑證符合 RFC 2253

憑證必須符合 RFC 2253。

如果您不使用 vSphere Certificate Manager 產生 CSR,請確保 CSR 包含以下欄位。

字串 X.500 屬性類型
CN commonName
L localityName
ST stateOrProvinceName
O organizationName
OU organizationalUnitName
C countryName
STREET streetAddress
DC domainComponent
UID userid
如果您使用 vSphere Certificate Manager 產生 CSR,系統會提示您輸入以下資訊,並且 vSphere Certificate Manager 會將對應欄位新增至 CSR 檔案。
  • [email protected] 使用者的密碼,或您要連線的 vCenter Single Sign-On 網域的管理員密碼。
  • vSphere Certificate Manager 儲存在 certool.cfg 檔案中的資訊。對於大部分的欄位,您可以接受預設值,或提供站台專屬值。機器的 FQDN 為必填。
    • [email protected] 的密碼
    • 兩個字母形式的國碼
    • 公司名稱
    • 組織名稱
    • 組織單位
    • 狀態
    • 位置
    • IP 位址 (選用)
    • 電子郵件
    • 主機名稱,即要進行憑證取代之機器的完整網域名稱。如果主機名稱與 FQDN 不相符,憑證取代就無法正確完成,而您的環境可能會最終處於不穩定狀態。
    • 您在其上執行 vSphere Certificate Manager 的 vCenter Server 節點的 IP 位址。
備註: OU (organizationalUnitName) 欄位不再為必填欄位。

使用 VMCA 作為中繼憑證授權機構時的憑證需求

當您將 VMCA 作為中繼 CA 使用時,憑證必須符合以下需求。

憑證類型 憑證需求
根憑證
  • 您可以使用 vSphere Certificate Manager 建立 CSR。請參閱使用 Certificate Manager 產生 CSR 並準備根憑證 (中繼 CA)
  • 如果您偏好手動建立 CSR,則傳送要求簽署的憑證必須符合下列需求:
    • 金鑰大小:2048 位元 (下限) 至 8192 位元 (上限) (PEM 編碼)
    • PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後,會轉換為 PKCS8。
    • x509 第 3 版
    • 對於根憑證,CA 延伸必須設為 true,憑證簽署必須位於需求清單中。例如:
      basicConstraints        = critical,CA:true
      keyUsage                = critical,digitalSignature,keyCertSign
    • 必須啟用 CRL 簽署。
    • [延伸金鑰使用方法] 可以為空白或包含伺服器驗證。
    • 對憑證鏈結的長度無明確限制。VMCA 預設使用 OpenSSL (為 10 個憑證)。
    • 不支援含萬用字元或多個 DNS 名稱的憑證。
    • 您無法建立 VMCA 的附屬 CA。

      如需使用 Microsoft 憑證授權機構的範例,請參閱 VMware 知識庫文章:Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x (在 vSphere 6.x 中建立 Microsoft 憑證授權機構範本以建立 SSL 憑證),網址為 https://kb.vmware.com/s/article/2112009

機器 SSL 憑證

您可以使用 vSphere Certificate Manager 建立 CSR 或手動建立 CSR。

如果您手動建立 CSR,則其必須符合上述所有匯入 vSphere 憑證的需求中所列的需求。您也必須指定主機的 FQDN。

解決方案使用者憑證

您可以使用 vSphere Certificate Manager 建立 CSR 或手動建立 CSR。

備註: 每位解決方案使用者必須使用不同的名稱。如果您手動產生憑證,則 主體下可能顯示為 CN,視您使用的工具而定。

如果您使用 vSphere Certificate Manager,則工具會提示您輸入每位解決方案使用者的憑證資訊。vSphere Certificate Manager 將資訊儲存在 certool.cfg 中。

對於 vpxd-extension 解決方案使用者,可以將 [延伸金鑰使用方法] 留空或使用 [TLS WWW 用戶端驗證]。

使用自訂憑證時的需求

當您要使用自訂憑證時,憑證必須符合以下需求。

憑證類型 憑證需求
機器 SSL 憑證 每個節點上的機器 SSL 憑證必須具有與第三方或企業 CA 不同的獨立憑證。
  • 您可以使用 vSphere Client 或 vSphere Certificate Manager 產生 CSR,也可以手動建立 CSR。CSR 必須符合上述所有匯入 vSphere 憑證的需求中所列的需求。
  • 對於大部分的欄位,您可以接受預設值,或提供站台專屬值。機器的 FQDN 為必填。
解決方案使用者憑證 各節點上的每個解決方案使用者必須具有與第三方或企業 CA 不同的獨立憑證。
  • 您可以使用 vSphere Certificate Manager 產生 CSR,也可以自行準備 CSR。CSR 必須符合上述所有匯入 vSphere 憑證的需求中所列的需求。
  • 如果您使用 vSphere Certificate Manager,則公用程式會提示您輸入每位解決方案使用者的憑證資訊。vSphere Certificate Manager 將資訊儲存在 certool.cfg 中。

    備註: 每位解決方案使用者必須使用不同的名稱。手動產生的憑證在 主體下可能顯示為 CN,視您使用的工具而定。

之後當您使用自訂憑證取代解決方案使用者憑證時,請提供第三方 CA 的完整簽署憑證鏈結。

對於 vpxd-extension 解決方案使用者,可以將 [延伸金鑰使用方法] 留空或使用 [TLS WWW 用戶端驗證]。