Você pode realizar diferentes tipos de substituição de certificado, dependendo da política da sua empresa e dos requisitos para o sistema que você está configurando. Você pode realizar a substituição do certificado a partir do vCenter Server, usando o utilitário vSphere Certificate Manager, ou manualmente usando as CLIs incluídas com a sua instalação.

O VMCA está incluído em cada implantação do vCenter Server. A VMCA provisiona cada nó, cada usuário da solução vCenter Server e cada host ESXi com um certificado assinado pela VMCA como a autoridade de certificação.

Você pode substituir os certificados padrão. Para componentes do vCenter Server, você pode usar um conjunto de ferramentas de linha de comando incluídas na sua instalação. Você tem várias opções.

Substituir por certificados assinados pela VMCA

Se o seu certificado VMCA expirar ou você quiser substituí-lo por outros motivos, poderá usar as CLIs de gerenciamento de certificados para executar esse processo. Por padrão, o certificado raiz do VMCA expira após 10 anos, e todos os certificados que o VMCA assina expiram quando o certificado raiz expira, ou seja, após um máximo de 10 anos.

Figura 1. Os certificados assinados pela VMCA são armazenados no VECS
No modo padrão, o VMCA provisiona com certificados que são assinados pelo VMCA.
Você pode usar as seguintes opções de vSphere Certificate Manager:
  • Substituir o certificado SSL da máquina pelo certificado VMCA
  • Substituir Certificado de Usuário de Solução pelo Certificado VMCA

Para a substituição manual do certificado, consulte Substituir certificados assinados pela VMCA existentes por novos certificados assinados pela VMCA.

Tornar VMCA uma CA Intermediária

Você pode substituir o certificado raiz da VMCA por um certificado assinado por uma autoridade de certificação corporativa ou de terceiros. A VMCA assina o certificado raiz personalizado toda vez que provisiona certificados, tornando a VMCA uma CA intermediária.
Observação: Se você realizar uma nova instalação com um vCenter Server, substitua o certificado raiz da VMCA antes de adicionar hosts ESXi. Se você fizer isso, o VMCA assinará toda a cadeia e não será necessário gerar novos certificados.
Figura 2. Certificados assinados por uma autoridade de certificação de terceiros ou corporativa usam o VMCA como uma autoridade de certificação intermediária
está incluído como um certificado intermediário. O certificado raiz é assinado por uma autoridade de certificação de terceiros.
Você pode usar as seguintes opções de vSphere Certificate Manager:
  • Substituir o certificado raiz da VMCA por um certificado de assinatura personalizado e substituir todos os certificados
  • Substituir o certificado SSL da máquina pelo certificado VMCA (implantação de modo vinculado aprimorado de vários nós)
  • Substituir Certificado de Usuário de Solução por Certificado VMCA (implantação em modo vinculado aprimorado de vários nós)

Para a substituição manual do certificado, consulte Usar VMCA como uma autoridade de certificação intermediária.

Não usar VMCA, provisionar com certificados personalizados

Você pode substituir os certificados assinados pela VMCA existentes por certificados personalizados. Se você usar essa abordagem, será responsável por todo o provisionamento e monitoramento de certificados.

Figura 3. Certificados externos são armazenados diretamente no VECS
Certificados externos são armazenados diretamente no VECS. VMCA não é usado.
Você pode usar as seguintes opções de vSphere Certificate Manager:
  • Substituir o certificado SSL da máquina por um certificado personalizado
  • Substituir certificados de usuário de solução por certificados personalizados

Para a substituição manual do certificado, consulte Usar certificados personalizados com o vSphere.

Você também pode usar o vSphere Client para gerar um CSR para um certificado SSL de máquina (personalizado) e substituir o certificado depois que a CA o retornar. Consulte Gerar solicitação de assinatura de certificado para o certificado SSL da máquina usando o vSphere Client (certificados personalizados).

Implantação híbrida

Você pode fazer com que a VMCA forneça alguns dos certificados, mas use certificados personalizados para outras partes da sua infraestrutura. Por exemplo, como os certificados de usuário de solução são usados apenas para autenticar no vCenter Single Sign-On, considere fazer com que o VMCA provisione esses certificados. Substitua os certificados SSL da máquina por certificados personalizados para proteger todo o tráfego SSL.

A política da empresa muitas vezes não permite CAs intermediárias. Para esses casos, a implantação híbrida é uma boa solução. Ele minimiza o número de certificados a serem substituídos e protege todo o tráfego. A implantação híbrida deixa apenas o tráfego interno, ou seja, o tráfego de usuário da solução, para usar os certificados assinados pela VMCA padrão.

ESXi Substituição de certificado

Para hosts ESXi, você pode alterar o comportamento de provisionamento de certificado do vSphere Client. Consulte a documentação do Segurança do vSphere para obter detalhes.

Tabela 1. ESXi Opções de substituição de certificado
Opção Descrição
Modo VMware Certificate Authority (padrão) Quando você renova certificados do vSphere Client, a VMCA emite os certificados para os hosts. Se você alterou o certificado raiz da VMCA para incluir uma cadeia de certificados, os certificados do host incluem a cadeia completa.
Modo de autoridade de certificação personalizada Permite que você atualize e use certificados manualmente que não são assinados ou emitidos pelo VMCA.
Modo de impressão digital Pode ser usado para reter certificados 5.5 durante a atualização. Use esse modo apenas temporariamente em situações de depuração.