Você pode usar certificados personalizados de uma autoridade de certificação corporativa ou de terceiros. A primeira etapa é solicitar os certificados da autoridade de certificação e importar os certificados raiz para o repositório de certificados de endpoint do VMware (VECS).
Pré-requisitos
O certificado deve atender aos seguintes requisitos:
- Tamanho da chave: 2048 bits (mínimo) a 16384 bits (máximo) (codificação PEM)
- Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando as chaves são adicionadas ao VECS, elas são convertidas em PKCS8.
- x509 versão 3
- Para certificados raiz, a extensão da autoridade de certificação deve ser definida como verdadeira e o sinal de certificado deve estar na lista de requisitos.
- SubjectAltName deve conter o nome DNS = <machine_FQDN>.
- Formato CRT
- Contém os seguintes usos de chave: assinatura digital, codificação de chave
- Hora de início de um dia antes da hora atual.
- CN (e SubjectAltName) definido como o nome do host (ou endereço IP) que o host ESXi tem no inventário vCenter Server.
Procedimento
- Envie as Solicitações de Assinatura de Certificado (CSRs) para os certificados a seguir ao seu provedor de certificado de empresa ou de terceiros.
- Um certificado SSL de máquina para cada máquina. Para o certificado SSL da máquina, o campo SubjectAltName deve conter o nome de domínio totalmente qualificado (DNS NAME = machine_FQDN ).
- Opcionalmente, cinco certificados de usuário de solução para cada nó. Os certificados de usuário da solução não precisam incluir o endereço IP, o nome do host ou o endereço de e-mail. Cada certificado deve ter um assunto de certificado diferente.
Normalmente, o resultado é um arquivo PEM para a cadeia confiável, mais os certificados SSL assinados para cada nó vCenter Server.
- Liste o TRUSTED_ROOTS e os armazenamentos SSL da máquina.
- Certifique-se de que o certificado raiz atual e todos os certificados SSL de máquina sejam assinados pelo VMCA.
- Anote os campos Número de série, emissor e CN de assunto.
- (Opcional) Com um navegador da Web, abra uma conexão HTTPS para um nó no qual o certificado deve ser substituído, visualize as informações do certificado e certifique-se de que ele corresponda ao certificado SSL da máquina.
- Pare todos os serviços e inicie os serviços que lidam com a criação, a propagação e o armazenamento de certificados.
service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
- Publique o certificado raiz personalizado.
dir-cli trustedcert publish --cert <my_custom_root>
Se você não especificar um nome de usuário e senha na linha de comando, você será solicitado.
- Reinicie todos os serviços.
service-control --start --all
O que Fazer Depois
Você pode remover o certificado raiz VMCA original do armazenamento de certificados se a política da sua empresa exigir. Se você fizer isso, será necessário atualizar o certificado vCenter Single Sign-On. Consulte o Substituir um certificado de STS do vCenter Server usando a linha de comando.