Você pode realizar diferentes tipos de substituição de certificado, dependendo da política da sua empresa e dos requisitos para o sistema que você está configurando. Você pode realizar a substituição do certificado a partir do vCenter Server, usando o utilitário vSphere Certificate Manager, ou manualmente usando as CLIs incluídas com a sua instalação.
O VMCA está incluído em cada implantação do vCenter Server. A VMCA provisiona cada nó, cada usuário da solução vCenter Server e cada host ESXi com um certificado assinado pela VMCA como a autoridade de certificação.
Você pode substituir os certificados padrão. Para componentes do vCenter Server, você pode usar um conjunto de ferramentas de linha de comando incluídas na sua instalação. Você tem várias opções.
Substituir por certificados assinados pela VMCA
Se o seu certificado VMCA expirar ou você quiser substituí-lo por outros motivos, poderá usar as CLIs de gerenciamento de certificados para executar esse processo. Por padrão, o certificado raiz do VMCA expira após 10 anos, e todos os certificados que o VMCA assina expiram quando o certificado raiz expira, ou seja, após um máximo de 10 anos.
- Substituir o certificado SSL da máquina pelo certificado VMCA
- Substituir Certificado de Usuário de Solução pelo Certificado VMCA
Para a substituição manual do certificado, consulte Substituir certificados assinados pela VMCA existentes por novos certificados assinados pela VMCA.
Tornar VMCA uma CA Intermediária
- Substituir o certificado raiz da VMCA por um certificado de assinatura personalizado e substituir todos os certificados
- Substituir o certificado SSL da máquina pelo certificado VMCA (implantação de modo vinculado aprimorado de vários nós)
- Substituir Certificado de Usuário de Solução por Certificado VMCA (implantação em modo vinculado aprimorado de vários nós)
Para a substituição manual do certificado, consulte Usar VMCA como uma autoridade de certificação intermediária.
Não usar VMCA, provisionar com certificados personalizados
Você pode substituir os certificados assinados pela VMCA existentes por certificados personalizados. Se você usar essa abordagem, será responsável por todo o provisionamento e monitoramento de certificados.
- Substituir o certificado SSL da máquina por um certificado personalizado
- Substituir certificados de usuário de solução por certificados personalizados
Para a substituição manual do certificado, consulte Usar certificados personalizados com o vSphere.
Você também pode usar o vSphere Client para gerar um CSR para um certificado SSL de máquina (personalizado) e substituir o certificado depois que a CA o retornar. Consulte Gerar solicitação de assinatura de certificado para o certificado SSL da máquina usando o vSphere Client (certificados personalizados).
Implantação híbrida
Você pode fazer com que a VMCA forneça alguns dos certificados, mas use certificados personalizados para outras partes da sua infraestrutura. Por exemplo, como os certificados de usuário de solução são usados apenas para autenticar no vCenter Single Sign-On, considere fazer com que o VMCA provisione esses certificados. Substitua os certificados SSL da máquina por certificados personalizados para proteger todo o tráfego SSL.
A política da empresa muitas vezes não permite CAs intermediárias. Para esses casos, a implantação híbrida é uma boa solução. Ele minimiza o número de certificados a serem substituídos e protege todo o tráfego. A implantação híbrida deixa apenas o tráfego interno, ou seja, o tráfego de usuário da solução, para usar os certificados assinados pela VMCA padrão.
ESXi Substituição de certificado
Para hosts ESXi, você pode alterar o comportamento de provisionamento de certificado do vSphere Client. Consulte a documentação do Segurança do vSphere para obter detalhes.
Opção | Descrição |
---|---|
Modo VMware Certificate Authority (padrão) | Quando você renova certificados do vSphere Client, a VMCA emite os certificados para os hosts. Se você alterou o certificado raiz da VMCA para incluir uma cadeia de certificados, os certificados do host incluem a cadeia completa. |
Modo de autoridade de certificação personalizada | Permite que você atualize e use certificados manualmente que não são assinados ou emitidos pelo VMCA. |
Modo de impressão digital | Pode ser usado para reter certificados 5.5 durante a atualização. Use esse modo apenas temporariamente em situações de depuração. |