不同解決方案路徑的 vSphere 憑證需求

憑證需求取決於是使用 VMware Certificate Authority (VMCA) 作為中繼憑證授權機構，還是使用自訂憑證。機器憑證的需求也有所不同。

開始變更憑證之前，請確保 vSphere 環境中所有節點的時間都已同步。

備註： vSphere 僅部署用於伺服器驗證的 RSA 憑證，不支援產生 ECDSA 憑證。 vSphere 將驗證其他伺服器提供的 ECDSA 憑證。例如，如果 vSphere 連線至 syslog 伺服器，並且 syslog 伺服器具有 ECDSA 憑證，則 vSphere 支援驗證該憑證。

所有匯入 vSphere 憑證的需求

金鑰大小：2048 位元 (下限) 至 8192 位元 (上限) (PEM 編碼)。產生憑證簽署要求時，vSphere Client 和 API 仍接受最大為 16384 位元的金鑰大小。
備註：在 vSphere 8.0 中，使用 vSphere Client 或 vSphere Certificate Manager 時，只能產生最小金鑰長度為 3072 位元的 CSR。 vCenter Server 仍接受金鑰長度為 2048 位元的自訂憑證。在 vSphere 8.0 Update 1 及更新版本中，可以使用 vSphere Client 產生金鑰長度為 2048 位元的 CSR。

備註： vSphere 的 FIPS 憑證僅驗證 2048 位元和 3072 位元的 RSA 金鑰大小。
PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。將金鑰新增到 VECS 之後，系統會將其轉換為 PKCS8。
x509 第 3 版
SubjectAltName 必須包含 DNS Name=machine_FQDN
CRT 格式
包含下列金鑰使用方法：數位簽章、金鑰編密。
免除 vpxd-extension 解決方案使用者憑證，[延伸金鑰使用方法] 可以為空白或包含伺服器驗證。

vSphere 不支援以下憑證。

具有萬用字元的憑證。
不支援演算法 md2WithRSAEncryption、md5WithRSAEncryption、RSASSA-PSS、dsaWithSHA1、ecdsa_with_SHA1 和 sha1WithRSAEncryption。
為 vCenter Server 建立自訂機器 SSL 憑證時，不支援伺服器驗證和用戶端驗證。因此，在使用 Microsoft 憑證授權機構 (CA) 範本時，必須移除這些驗證。如需詳細資訊，請參閱 VMware 知識庫文章，網址為 https://kb.vmware.com/s/article/2112009。

vSphere 憑證符合 RFC 2253

憑證必須符合 RFC 2253。

如果您不使用 vSphere Certificate Manager 產生 CSR，請確保 CSR 包含以下欄位。

字串	X.500 屬性類型
CN	commonName
L	localityName
ST	stateOrProvinceName
O	organizationName
OU	organizationalUnitName
C	countryName
STREET	streetAddress
DC	domainComponent
UID	userid

如果您使用 vSphere Certificate Manager 產生 CSR，系統會提示您輸入以下資訊，並且 vSphere Certificate Manager 會將對應欄位新增至 CSR 檔案。

[email protected] 使用者的密碼，或您要連線的 vCenter Single Sign-On 網域的管理員密碼。
vSphere Certificate Manager 儲存在 certool.cfg 檔案中的資訊。對於大部分的欄位，您可以接受預設值，或提供站台專屬值。機器的 FQDN 為必填。
- [email protected] 的密碼
- 兩個字母形式的國碼
- 公司名稱
- 組織名稱
- 組織單位
- 狀態
- 位置
- IP 位址 (選用)
- 電子郵件
- 主機名稱，即要進行憑證取代之機器的完整網域名稱。如果主機名稱與 FQDN 不相符，憑證取代就無法正確完成，而您的環境可能會最終處於不穩定狀態。
- 您在其上執行 vSphere Certificate Manager 的 vCenter Server 節點的 IP 位址。

備註： OU (organizationalUnitName) 欄位不再為必填欄位。

使用 VMCA 作為中繼憑證授權機構時的憑證需求

當您將 VMCA 作為中繼 CA 使用時，憑證必須符合以下需求。


憑證類型	憑證需求
根憑證	您可以使用 vSphere Certificate Manager 建立 CSR。請參閱使用 Certificate Manager 產生 CSR 並準備根憑證 (中繼 CA)。如果您偏好手動建立 CSR，則傳送要求簽署的憑證必須符合下列需求：金鑰大小：2048 位元 (下限) 至 8192 位元 (上限) (PEM 編碼) PEM 格式。VMware 支援 PKCS8 和 PKCS1 (RSA 金鑰)。金鑰新增到 VECS 之後，會轉換為 PKCS8。 x509 第 3 版對於根憑證，CA 延伸必須設為 true，憑證簽署必須位於需求清單中。例如： basicConstraints = critical,CA:true keyUsage = critical,digitalSignature,keyCertSign 必須啟用 CRL 簽署。 [延伸金鑰使用方法] 可以為空白或包含伺服器驗證。對憑證鏈結的長度無明確限制。VMCA 預設使用 OpenSSL (為 10 個憑證)。不支援含萬用字元或多個 DNS 名稱的憑證。您無法建立 VMCA 的附屬 CA。如需使用 Microsoft 憑證授權機構的範例，請參閱 VMware 知識庫文章：Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x (在 vSphere 6.x 中建立 Microsoft 憑證授權機構範本以建立 SSL 憑證)，網址為 https://kb.vmware.com/s/article/2112009。
機器 SSL 憑證	您可以使用 vSphere Certificate Manager 建立 CSR 或手動建立 CSR。如果您手動建立 CSR，則其必須符合上述所有匯入 vSphere 憑證的需求中所列的需求。您也必須指定主機的 FQDN。
解決方案使用者憑證	您可以使用 vSphere Certificate Manager 建立 CSR 或手動建立 CSR。備註：每位解決方案使用者必須使用不同的名稱。如果您手動產生憑證，則主體下可能顯示為 CN，視您使用的工具而定。如果您使用 vSphere Certificate Manager，則工具會提示您輸入每位解決方案使用者的憑證資訊。vSphere Certificate Manager 將資訊儲存在 certool.cfg 中。對於 vpxd-extension 解決方案使用者，可以將 [延伸金鑰使用方法] 留空或使用 [TLS WWW 用戶端驗證]。

使用自訂憑證時的需求

當您要使用自訂憑證時，憑證必須符合以下需求。


憑證類型	憑證需求
機器 SSL 憑證	每個節點上的機器 SSL 憑證必須具有與第三方或企業 CA 不同的獨立憑證。您可以使用 vSphere Client 或 vSphere Certificate Manager 產生 CSR，也可以手動建立 CSR。CSR 必須符合上述所有匯入 vSphere 憑證的需求中所列的需求。對於大部分的欄位，您可以接受預設值，或提供站台專屬值。機器的 FQDN 為必填。
解決方案使用者憑證	各節點上的每個解決方案使用者必須具有與第三方或企業 CA 不同的獨立憑證。您可以使用 vSphere Certificate Manager 產生 CSR，也可以自行準備 CSR。CSR 必須符合上述所有匯入 vSphere 憑證的需求中所列的需求。如果您使用 vSphere Certificate Manager，則公用程式會提示您輸入每位解決方案使用者的憑證資訊。vSphere Certificate Manager 將資訊儲存在 certool.cfg 中。備註：每位解決方案使用者必須使用不同的名稱。手動產生的憑證在主體下可能顯示為 CN，視您使用的工具而定。之後當您使用自訂憑證取代解決方案使用者憑證時，請提供第三方 CA 的完整簽署憑證鏈結。對於 vpxd-extension 解決方案使用者，可以將 [延伸金鑰使用方法] 留空或使用 [TLS WWW 用戶端驗證]。