O trabalho necessário para configurar ou atualizar sua infraestrutura de certificado depende dos requisitos do seu ambiente. Você deve considerar se está realizando uma nova instalação ou uma atualização e se está considerando ESXi ou vCenter Server.
Administradores que não substituem VMware certificados
O VMCA pode lidar com todo o gerenciamento de certificados. A VMCA provisiona vCenter Server componentes e ESXi hosts com certificados que usam o VMCA como a autoridade de certificação raiz. Se você estiver atualizando para o vSphere 6 de uma versão anterior do vSphere, todos os certificados autoassinados serão substituídos por certificados assinados pelo VMCA.
Se você não substituir os certificados VMware no momento, seu ambiente começará a usar certificados assinados pelo VMCA em vez de certificados autoassinados.
Administradores que substituem VMware certificados por certificados personalizados
Se a política da sua empresa exigir certificados que sejam assinados por uma autoridade de certificação corporativa ou de terceiros, ou que exijam informações de certificado personalizadas, você terá várias opções para uma nova instalação.
- Faça com que o certificado raiz da VMCA seja assinado por uma autoridade de certificação de terceiros ou uma autoridade de certificação corporativa. Substitua o certificado raiz da VMCA por esse certificado assinado. Nesse cenário, o certificado VMCA é um certificado intermediário. A VMCA provisiona vCenter Server componentes e ESXi hosts com certificados que incluem a cadeia de certificados completa.
- Se a política da sua empresa não permitir certificados intermediários na cadeia, você poderá substituir os certificados explicitamente. Você pode usar o utilitário vSphere Client, vSphere Certificate Manager ou realizar a substituição manual do certificado usando as CLIs de gerenciamento de certificado.
Ao atualizar um ambiente que usa certificados personalizados, você pode manter alguns dos certificados.
- Os hosts ESXi mantêm seus certificados personalizados durante a atualização. Certifique-se de que o processo de atualização do vCenter Server adicione todos os certificados raiz relevantes ao armazenamento TRUSTED_ROOTS no VECS no vCenter Server.
Após a atualização para o vSphere 6.0 ou posterior, você pode definir o modo de certificado como Personalizado (Custom). Se o modo de certificado for VMCA, o padrão, e o usuário realizar uma atualização de certificado a partir do vSphere Client, os certificados assinados pelo VMCA substituirão os certificados personalizados.
- Para uma atualização de uma instalação simples do vCenter Server para uma implantação incorporada, o vCenter Server mantém certificados personalizados. Após a atualização, seu ambiente funcionará como antes. Os certificados vCenter Server e vCenter Single Sign-On existentes são retidos. Os certificados são usados como certificados SSL de máquina. Além disso, a VMCA atribui um certificado assinado pela VMCA a cada usuário da solução (coleção de serviços do vCenter). O usuário da solução usa esse certificado apenas para se autenticar no vCenter Single Sign-On. A substituição de certificados de usuário de solução muitas vezes não é exigida por uma política da empresa.
Você pode usar o utilitário de linha de comando, vSphere Certificate Manager, para a maioria das tarefas de gerenciamento de certificado.
Interfaces de certificado do vSphere
Interface | Usar |
---|---|
vSphere Client | Realize tarefas de certificado comuns com uma interface gráfica do usuário. |
API do vSphere Automation | Consulte o VMware vSphere Automation SDKs Programming Guide . |
Utilitário Certificate Manager | Realize tarefas comuns de substituição de certificado na linha de comando da instalação do vCenter Server. |
CLIs de gerenciamento de certificados | Realize todas as tarefas de gerenciamento de certificado com dir-cli, certool e vecs-cli. |
Utilitário de sso-config | Realize o gerenciamento de certificado STS a partir da linha de comando da instalação do vCenter Server. |
Para ESXi, você executa o gerenciamento de certificados a partir do vSphere Client. A VMCA provisiona certificados e os armazena localmente no host ESXi. O VMCA não armazena ESXi certificados de host no VMDIR ou no VECS. Consulte a documentação do Segurança do vSphere .
Certificados do vCenter compatíveis
Para vCenter Server e máquinas e serviços relacionados, os seguintes certificados são suportados:
- Certificados que são gerados e assinados por VMware Certificate Authority (VMCA).
- Certificados personalizados.
- Certificados corporativos que são gerados a partir de sua própria PKI interna.
- Certificados assinados por CA de terceiros que são gerados por uma PKI externa, como Verisign, GoDaddy e assim por diante.
Não há suporte para certificados autoassinados que foram criados usando o OpenSSL no qual não existe uma autoridade de certificação raiz.