A partir do vSphere 6.0, os hosts do ESXi são provisionados com certificados pelo VMCA por padrão. Em vez disso, você pode usar o modo de certificado personalizado ou, para fins de depuração, o modo de impressão digital herdada. Na maioria dos casos, as opções de modo são disruptivas e desnecessárias. Se você precisar de um comutador de modo, revise o impacto potencial antes de começar.
Modo de certificado | Descrição |
---|---|
VMware Certificate Authority (padrão) | Por padrão, o VMware Certificate Authority é usado como a autoridade de certificação para ESXi certificados de host. VMCA é a CA raiz por padrão, mas pode ser configurada como a CA intermediária para outra CA. Neste modo, os usuários podem gerenciar certificados do vSphere Client. Também usado se o VMCA for um certificado subordinado. |
Autoridade de certificação personalizada | Alguns clientes podem preferir gerenciar sua própria autoridade de certificação externa. Nesse modo, os clientes são responsáveis pelo gerenciamento dos certificados e não podem gerenciá-los a partir do vSphere Client. |
Modo de impressão digital | O vSphere 5.5 usou o modo de impressão digital e esse modo ainda está disponível como uma opção de fallback para o vSphere 6.0. Não use esse modo, a menos que você encontre problemas com um dos outros dois modos que você não pode resolver. Alguns serviços do vCenter 6.0 e posteriores podem não funcionar corretamente no modo de impressão digital. |
Usando certificados ESXi personalizados
Se a política da sua empresa exigir que você use uma autoridade de certificação raiz diferente da VMCA, você poderá alternar o modo de certificado no seu ambiente após um planejamento cuidadoso. O fluxo de trabalho é o seguinte.
- Obtenha os certificados que você deseja usar.
- Coloque o host ou hosts no modo de manutenção e desconecte-os do vCenter Server.
- Adicione o certificado raiz da autoridade de certificação personalizada ao VECS.
- Implante os certificados de autoridade de certificação personalizados em cada host e reinicie os serviços nesse host.
- Alterne para o modo CA personalizado. Consulte Alterar o modo de certificado.
- Conecte o host ou hosts ao sistema do vCenter Server.
Alternando do modo CA personalizado para o modo VMCA
Se você estiver usando o modo de autoridade de certificação personalizada e decidir que o uso do VMCA funciona melhor no seu ambiente, poderá realizar a alternância de modo após um planejamento cuidadoso. O fluxo de trabalho é o seguinte.
- Remova todos os hosts do sistema vCenter Server.
- No sistema do vCenter Server, remova o certificado raiz da CA de terceiros do VECS.
- Alterne para o modo VMCA. Consulte Alterar o modo de certificado.
- Adicione os hosts ao sistema vCenter Server.
Como reter certificados do modo de impressão digital durante a atualização
A mudança do modo VMCA para o modo de impressão digital pode ser necessária se você encontrar problemas com os certificados VMCA. No modo de impressão digital, o sistema do vCenter Server verifica apenas se um certificado existe e está formatado corretamente e não verifica se o certificado é válido. Consulte Alterar o modo de certificado para obter instruções.
Alternando do modo de impressão digital para o modo VMCA
Se você usar o modo de impressão digital e quiser começar a usar certificados assinados pela VMCA, a alternância exigirá algum planejamento. O fluxo de trabalho é o seguinte.
- Remova todos os hosts do sistema vCenter Server.
- Alterne para o modo de certificado VMCA. Consulte Alterar o modo de certificado.
- Adicione os hosts ao sistema vCenter Server.
Alternando do modo CA personalizado para o modo de impressão digital
Se você estiver encontrando problemas com sua autoridade de certificação personalizada, considere alternar para o modo de impressão digital temporariamente. A mudança funcionará perfeitamente se você seguir as instruções em Alterar o modo de certificado. Após a troca de modo, o sistema do vCenter Server verifica apenas o formato do certificado e não verifica mais a validade do certificado em si.
Alternando do modo de impressão digital para o modo CA personalizado
Se você definir seu ambiente para o modo de impressão digital durante a solução de problemas e quiser começar a usar o modo de autoridade de certificação personalizada, deverá primeiro gerar os certificados necessários. O fluxo de trabalho é o seguinte.
- Remova todos os hosts do sistema vCenter Server.
- Adicione o certificado raiz da CA personalizado ao repositório TRUSTED_ROOTS no VECS no sistema vCenter Server. Consulte Atualizar o vCenter Server TRUSTED_ROOTS Store (certificados personalizados).
- Para cada host ESXi:
- Implante o certificado e a chave da autoridade de certificação personalizada.
- Reinicie os serviços no host.
- Alterne para o modo personalizado. Consulte Alterar o modo de certificado.
- Adicione os hosts ao sistema vCenter Server.