Você pode usar certificados personalizados de uma autoridade de certificação corporativa ou de terceiros. A primeira etapa é solicitar os certificados da autoridade de certificação e importar os certificados raiz para o repositório de certificados de endpoint do VMware (VECS).

Pré-requisitos

O certificado deve atender aos seguintes requisitos:

  • Tamanho da chave: 2048 bits (mínimo) a 16384 bits (máximo) (codificação PEM)
  • Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando as chaves são adicionadas ao VECS, elas são convertidas em PKCS8.
  • x509 versão 3
  • Para certificados raiz, a extensão da autoridade de certificação deve ser definida como verdadeira e o sinal de certificado deve estar na lista de requisitos.
  • SubjectAltName deve conter o nome DNS = <machine_FQDN>.
  • Formato CRT
  • Contém os seguintes usos de chave: assinatura digital, codificação de chave
  • Hora de início de um dia antes da hora atual.
  • CN (e SubjectAltName) definido como o nome do host (ou endereço IP) que o host ESXi tem no inventário vCenter Server.

Procedimento

  1. Envie as Solicitações de Assinatura de Certificado (CSRs) para os certificados a seguir ao seu provedor de certificado de empresa ou de terceiros.
    • Um certificado SSL de máquina para cada máquina. Para o certificado SSL da máquina, o campo SubjectAltName deve conter o nome de domínio totalmente qualificado (DNS NAME = machine_FQDN ).
    • Opcionalmente, cinco certificados de usuário de solução para cada nó. Os certificados de usuário da solução não precisam incluir o endereço IP, o nome do host ou o endereço de e-mail. Cada certificado deve ter um assunto de certificado diferente.

    Normalmente, o resultado é um arquivo PEM para a cadeia confiável, mais os certificados SSL assinados para cada nó vCenter Server.

  2. Liste o TRUSTED_ROOTS e os armazenamentos SSL da máquina.
    vecs-cli store list 
    
    1. Certifique-se de que o certificado raiz atual e todos os certificados SSL de máquina sejam assinados pelo VMCA.
    2. Anote os campos Número de série, emissor e CN de assunto.
    3. (Opcional) Com um navegador da Web, abra uma conexão HTTPS para um nó no qual o certificado deve ser substituído, visualize as informações do certificado e certifique-se de que ele corresponda ao certificado SSL da máquina.
  3. Pare todos os serviços e inicie os serviços que lidam com a criação, a propagação e o armazenamento de certificados.
    service-control --stop --all
    service-control --start vmafdd
    service-control --start vmdird
    service-control --start vmcad
    
  4. Publique o certificado raiz personalizado.
    dir-cli trustedcert publish --cert <my_custom_root>
    Se você não especificar um nome de usuário e senha na linha de comando, você será solicitado.
  5. Reinicie todos os serviços.
    service-control --start --all
    

O que Fazer Depois

Você pode remover o certificado raiz VMCA original do armazenamento de certificados se a política da sua empresa exigir. Se você fizer isso, será necessário atualizar o certificado vCenter Single Sign-On. Consulte o Substituir um certificado de STS do vCenter Server usando a linha de comando.