A partir do vSphere 6.0, os hosts do ESXi são provisionados com certificados pelo VMCA por padrão. Em vez disso, você pode usar o modo de certificado personalizado ou, para fins de depuração, o modo de impressão digital herdada. Na maioria dos casos, as opções de modo são disruptivas e desnecessárias. Se você precisar de um comutador de modo, revise o impacto potencial antes de começar.

No vSphere 6.0 e posterior, o vCenter Server oferece suporte aos seguintes modos de certificado para hosts ESXi.
Modo de certificado Descrição
VMware Certificate Authority (padrão) Por padrão, o VMware Certificate Authority é usado como a autoridade de certificação para ESXi certificados de host. VMCA é a CA raiz por padrão, mas pode ser configurada como a CA intermediária para outra CA. Neste modo, os usuários podem gerenciar certificados do vSphere Client. Também usado se o VMCA for um certificado subordinado.
Autoridade de certificação personalizada Alguns clientes podem preferir gerenciar sua própria autoridade de certificação externa. Nesse modo, os clientes são responsáveis pelo gerenciamento dos certificados e não podem gerenciá-los a partir do vSphere Client.
Modo de impressão digital O vSphere 5.5 usou o modo de impressão digital e esse modo ainda está disponível como uma opção de fallback para o vSphere 6.0. Não use esse modo, a menos que você encontre problemas com um dos outros dois modos que você não pode resolver. Alguns serviços do vCenter 6.0 e posteriores podem não funcionar corretamente no modo de impressão digital.

Usando certificados ESXi personalizados

Se a política da sua empresa exigir que você use uma autoridade de certificação raiz diferente da VMCA, você poderá alternar o modo de certificado no seu ambiente após um planejamento cuidadoso. O fluxo de trabalho é o seguinte.

  1. Obtenha os certificados que você deseja usar.
  2. Coloque o host ou hosts no modo de manutenção e desconecte-os do vCenter Server.
  3. Adicione o certificado raiz da autoridade de certificação personalizada ao VECS.
  4. Implante os certificados de autoridade de certificação personalizados em cada host e reinicie os serviços nesse host.
  5. Alterne para o modo CA personalizado. Consulte Alterar o modo de certificado.
  6. Conecte o host ou hosts ao sistema do vCenter Server.

Alternando do modo CA personalizado para o modo VMCA

Se você estiver usando o modo de autoridade de certificação personalizada e decidir que o uso do VMCA funciona melhor no seu ambiente, poderá realizar a alternância de modo após um planejamento cuidadoso. O fluxo de trabalho é o seguinte.

  1. Remova todos os hosts do sistema vCenter Server.
  2. No sistema do vCenter Server, remova o certificado raiz da CA de terceiros do VECS.
  3. Alterne para o modo VMCA. Consulte Alterar o modo de certificado.
  4. Adicione os hosts ao sistema vCenter Server.
Observação: Qualquer outro fluxo de trabalho para essa alternância de modo pode resultar em um comportamento imprevisível.

Como reter certificados do modo de impressão digital durante a atualização

A mudança do modo VMCA para o modo de impressão digital pode ser necessária se você encontrar problemas com os certificados VMCA. No modo de impressão digital, o sistema do vCenter Server verifica apenas se um certificado existe e está formatado corretamente e não verifica se o certificado é válido. Consulte Alterar o modo de certificado para obter instruções.

Alternando do modo de impressão digital para o modo VMCA

Se você usar o modo de impressão digital e quiser começar a usar certificados assinados pela VMCA, a alternância exigirá algum planejamento. O fluxo de trabalho é o seguinte.

  1. Remova todos os hosts do sistema vCenter Server.
  2. Alterne para o modo de certificado VMCA. Consulte Alterar o modo de certificado.
  3. Adicione os hosts ao sistema vCenter Server.
Observação: Qualquer outro fluxo de trabalho para essa alternância de modo pode resultar em um comportamento imprevisível.

Alternando do modo CA personalizado para o modo de impressão digital

Se você estiver encontrando problemas com sua autoridade de certificação personalizada, considere alternar para o modo de impressão digital temporariamente. A mudança funcionará perfeitamente se você seguir as instruções em Alterar o modo de certificado. Após a troca de modo, o sistema do vCenter Server verifica apenas o formato do certificado e não verifica mais a validade do certificado em si.

Alternando do modo de impressão digital para o modo CA personalizado

Se você definir seu ambiente para o modo de impressão digital durante a solução de problemas e quiser começar a usar o modo de autoridade de certificação personalizada, deverá primeiro gerar os certificados necessários. O fluxo de trabalho é o seguinte.

  1. Remova todos os hosts do sistema vCenter Server.
  2. Adicione o certificado raiz da CA personalizado ao repositório TRUSTED_ROOTS no VECS no sistema vCenter Server. Consulte Atualizar o vCenter Server TRUSTED_ROOTS Store (certificados personalizados).
  3. Para cada host ESXi:
    1. Implante o certificado e a chave da autoridade de certificação personalizada.
    2. Reinicie os serviços no host.
  4. Alterne para o modo personalizado. Consulte Alterar o modo de certificado.
  5. Adicione os hosts ao sistema vCenter Server.