Por padrão, o servidor do Auto Deploy provisiona cada host com certificados que são assinados pelo VMCA. Você pode configurar o servidor do Auto Deploy para provisionar todos os hosts com certificados personalizados que não são assinados pelo VMCA. Nesse cenário, o servidor de Implantação Automática se torna uma autoridade de certificação subordinada da sua CA de terceiros.
Pré-requisitos
- Solicite um certificado da sua autoridade de certificação. O certificado deve atender a esses requisitos.
- Tamanho da chave: 2048 bits (mínimo) a 16384 bits (máximo) (codificação PEM)
- Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando as chaves são adicionadas ao VECS, elas são convertidas em PKCS8.
- x509 versão 3
- Para certificados raiz, a extensão da autoridade de certificação deve ser definida como verdadeira e o sinal de certificado deve estar na lista de requisitos.
- SubjectAltName deve conter o nome DNS = <machine_FQDN>.
- Formato CRT
- Contém os seguintes usos de chave: assinatura digital, não repúdio, codificação de chave
- Hora de início de um dia antes da hora atual.
- CN (e SubjectAltName) definido como o nome do host (ou endereço IP) que o host ESXi tem no inventário vCenter Server.
- Nomeie os arquivos de certificado e chave rbd-ca.crt e rbd-ca.key .
Procedimento
Resultados
Na próxima vez que você provisionar um host configurado para usar o Auto Deploy, o servidor do Auto Deploy gerará um certificado. O servidor do Auto Deploy usa o certificado raiz que você adicionou ao repositório TRUSTED_ROOTS.
Observação: Se você tiver problemas com o Auto Deploy após a substituição do certificado, consulte o VMware artigo da base de conhecimento em
http://kb.vmware.com/kb/2000988 .