O VMware Certificate Authority (VMCA) provisiona cada novo host ESXi com um certificado assinado que tem o VMCA como a autoridade de certificação raiz por padrão. O provisionamento acontece quando o host é adicionado ao vCenter Server explicitamente ou como parte da instalação ou atualização para o ESXi 6.0 ou posterior.
Você pode visualizar e gerenciar ESXi certificados no vSphere Client e usando a API do vim.CertificateManager no vSphere Web Services SDK. Você não pode visualizar ou gerenciar certificados de ESXi usando CLIs de gerenciamento de certificados que estão disponíveis para gerenciar certificados de vCenter Server.
Certificados no vSphere 6.0 e posterior
Quando ESXi e vCenter Server se comunicam, eles usam o TLS para quase todo o tráfego de gerenciamento.
Modo de certificado | Descrição |
---|---|
VMware Certificate Authority (padrão) | Use esse modo se a VMCA provisionar todos os hosts ESXi, como a autoridade de certificação de nível superior ou como uma autoridade de certificação intermediária. Por padrão, a VMCA provisiona ESXi hosts com certificados. Neste modo, você pode atualizar e renovar certificados do vSphere Client. |
Autoridade de certificação personalizada | Use esse modo se quiser usar apenas certificados personalizados assinados por uma autoridade de certificação de terceiros ou corporativa.
Nesse modo, você é responsável pelo gerenciamento dos certificados. Não é possível atualizar e renovar certificados do
vSphere Client.
Observação: A menos que você altere o modo de certificado para Autoridade de Certificação Personalizada, o VMCA pode substituir certificados personalizados, por exemplo, quando você seleciona
Renovar (Renew) no
vSphere Client.
|
Modo de impressão digital | O vSphere 5.5 usou o modo de impressão digital e esse modo ainda está disponível como uma opção de fallback para o vSphere 6.x. Nesse modo, o vCenter Server verifica se o certificado está formatado corretamente, mas não verifica a validade do certificado. Até mesmo certificados expirados são aceitos. Não use esse modo, a menos que você encontre problemas que não possa resolver com um dos outros dois modos. Alguns serviços do vCenter 6.x e posteriores podem não funcionar corretamente no modo de impressão digital. |
Vencimento do certificado
Você pode visualizar informações sobre a expiração de certificados que são assinados pela VMCA ou por uma CA de terceiros no vSphere Client. Você pode visualizar as informações para todos os hosts gerenciados por um vCenter Server ou para hosts individuais. Um alarme amarelo é gerado se o certificado estiver no estado Expirando em breve (Expiring Shortly) (menos de oito meses). Um alarme vermelho será acionado se o certificado estiver no estado Expiração iminente (Expiration Imminent) (menos de dois meses).
ESXi Provisionamento e VMCA
Quando você inicializa um host ESXi da mídia de instalação, o host inicialmente tem um certificado gerado automaticamente. Quando o host é adicionado ao sistema do vCenter Server, ele é provisionado com um certificado assinado pela VMCA como a CA raiz.
O processo é semelhante para hosts provisionados com o Auto Deploy. No entanto, como esses hosts não armazenam nenhum estado, o certificado assinado é armazenado pelo servidor de Implantação Automática em seu armazenamento de certificados local. O certificado é reutilizado durante inicializações subsequentes dos hosts ESXi. Um servidor do Auto Deploy faz parte de qualquer implantação ou sistema do vCenter Server incorporado.
Se o VMCA não estiver disponível quando um host do Auto Deploy for inicializado pela primeira vez, o host tentará se conectar primeiro. Se o host não puder se conectar, ele percorrerá o ciclo de desligamento e reinicialização até que o VMCA se torne disponível e o host possa ser provisionado com um certificado assinado.
Privilégios necessários para o gerenciamento de certificados do ESXi
Para o gerenciamento de certificados para hosts ESXi, você deve ter o privilégio . Você pode definir esse privilégio no vSphere Client.
Alterações de nome do host e endereço IP
Uma alteração de nome de host ou endereço IP pode afetar se o vCenter Server considera um certificado de host válido. A forma como você adicionou o host a vCenter Server afeta se a intervenção manual é necessária. A intervenção manual significa que você reconecta o host ou remove o host de vCenter Server e o adiciona novamente.
Host adicionado a vCenter Server usando ... | Alterações no nome do host | Alterações de endereço IP |
---|---|---|
Nome do host | vCenter Server problema de conectividade. Intervenção manual necessária. | Nenhuma intervenção necessária. |
Endereço IP | Nenhuma intervenção necessária. | vCenter Server problema de conectividade. Intervenção manual necessária. |