Você pode usar o utilitário vSphere Certificate Manager para substituir todos os certificados por certificados personalizados. Antes de iniciar o processo, você deve enviar CSRs para sua autoridade de certificação (CA). Você pode usar o Gerenciador de Certificados para gerar as CSRs.

Uma opção é substituir apenas o certificado SSL da máquina e usar os certificados de usuário da solução que são provisionados pela VMCA. Os certificados de usuário da solução são usados apenas para comunicação entre componentes vSphere.

Ao usar certificados personalizados, você substitui os certificados assinados pela VMCA por certificados personalizados. Você pode usar o vSphere Client, o utilitário vSphere Certificate Manager ou as CLIs para substituição manual do certificado. Os certificados são armazenados no VECS.

Para substituir todos os certificados por certificados personalizados, você deve executar o utilitário vSphere Certificate Manager várias vezes. As etapas de alto nível para substituir os certificados SSL da máquina e os certificados do usuário da solução incluem:

  1. Iniciando o utilitário vSphere Certificate Manager.
  2. Gerando solicitações de assinatura de certificado para o certificado SSL da máquina e os certificados do usuário da solução separadamente em cada máquina.
    1. Para gerar CSRs para o certificado SSL da máquina, selecione a Opção 1, Substituir o certificado SSL da máquina por um certificado personalizado. Quando uma opção for solicitada novamente, selecione a Opção 1, Gerar Solicitação(ões) de Assinatura de Certificado e Chave(s) para o certificado SSL da Máquina.
    2. Se a política da empresa não permitir uma implantação híbrida, selecione a Opção 5, Substituir certificados de usuário da solução por certificado personalizado.
  3. Enviando a CSR para sua autoridade de certificação externa ou corporativa. Você recebe um certificado assinado e um certificado raiz da autoridade de certificação.
  4. Depois de receber os certificados assinados e o certificado raiz da sua autoridade de certificação, substitua o certificado SSL da máquina em cada máquina usando a Opção 1, Substituir certificado SSL da máquina por Certificado personalizado.
  5. Se você também quiser substituir os certificados de usuário da solução, selecione a Opção 5, Substituir certificados de usuário da solução por certificado personalizado.
  6. Por fim, quando várias instâncias do vCenter Server estão conectadas na configuração do Modo Vinculado Avançado, o processo é repetido em cada nó.

Gerar solicitações de assinatura de certificado usando o Gerenciador de certificados (certificados personalizados)

Você pode usar o utilitário vSphere Certificate Manager para gerar Solicitações de Assinatura de Certificado (CSRs) que você pode usar com sua CA corporativa ou enviar para uma autoridade de certificação externa. Você pode usar os certificados com os diferentes processos de substituição de certificado com suporte.

Pré-requisitos

vSphere Certificate Manager solicita informações. Os prompts dependem do seu ambiente e do tipo de certificado que você deseja substituir.

  • Para qualquer geração de CSR, será solicitada a senha do usuário [email protected] ou do administrador do domínio vCenter Single Sign-On ao qual você está se conectando.
  • Você será solicitado a fornecer o nome do host ou o endereço IP do vCenter Server.
  • Para gerar uma CSR para um certificado SSL de máquina, são solicitadas as propriedades do certificado, que são armazenadas no arquivo certool.cfg. Para a maioria dos campos, você pode aceitar o padrão ou fornecer valores específicos do site. O FQDN da máquina é necessário.
    Observação: No vSphere 8.0 e posterior, se você usar o vSphere Certificate Manager para gerar o CSR, o tamanho mínimo da chave será alterado para 3.072 bits de 2.048. No vSphere 8.0 Atualização 1, use o vSphere Client para gerar um CSR com um tamanho de chave de 2.048 bits.
    Observação: O certificado FIPS de vSphere só valida tamanhos de chave RSA de 2.048 bits e 3.072 bits.

Procedimento

  1. Faça login em cada vCenter Server (o shell vCenter Server) em seu ambiente e inicie o vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Opção de seleção 1, Substituir certificado SSL da máquina por Certificado personalizado.
  3. Digite o usuário e a senha do administrador.
  4. Selecione a Opção 1, Gerar Solicitação(ões) de Assinatura de Certificado e Chave(s) para Certificado SSL da Máquina, para gerar a CSR, responda aos prompts e saia de vSphere Certificate Manager.
    Como parte do processo, você precisa fornecer um diretório. vSphere Certificate Manager coloca o certificado e os arquivos de chave no diretório.
  5. Se você também quiser substituir todos os certificados de usuário da solução, reinicie vSphere Certificate Manager e selecione a Opção 5, Substituir certificados de usuário da solução por Certificado personalizado.
  6. Forneça a senha e o endereço IP vCenter Server ou o nome do host, se solicitado.
  7. Selecione a Opção 1, Gerar Solicitação(ões) de Assinatura de Certificado e Chave(s) para Certificados de Usuário da Solução, para gerar as CSRs, responda aos prompts e saia de vSphere Certificate Manager.
    Como parte do processo, você precisa fornecer um diretório. O Gerenciador de Certificados coloca os arquivos de certificado e de chave no diretório.

O que Fazer Depois

Para realizar a substituição do certificado, consulte Substituir o certificado SSL da máquina pelo certificado personalizado usando o Gerenciador de certificados.

Substituir o certificado SSL da máquina pelo certificado personalizado usando o Gerenciador de certificados

Você pode usar o utilitário vSphere Certificate Manager para substituir o certificado SSL da máquina em cada nó por um certificado personalizado. O certificado SSL da máquina é usado pelo serviço de proxy reverso em cada nó vCenter Server. Cada máquina deve ter um certificado SSL de máquina para comunicação segura com outros serviços.

Pré-requisitos

Antes de começar, você precisa de um CSR para cada máquina em seu ambiente. Você pode gerar a CSR usando vSphere Certificate Manager ou explicitamente.

  1. Para gerar a CSR usando vSphere Certificate Manager, consulte Gerar solicitações de assinatura de certificado usando o Gerenciador de certificados (certificados personalizados).
  2. Para gerar a CSR explicitamente, solicite um certificado para cada máquina da sua autoridade de certificação corporativa ou de terceiros. O certificado deve atender aos seguintes requisitos:
    • Tamanho da chave: 2.048 bits (mínimo) a 16.384 bits (máximo) (codificado por PEM)
    • Formato CRT
    • x509 versão 3
    • SubjectAltName deve conter Nome DNS=<machine_FQDN>.
    • Contém os seguintes usos de chave: assinatura digital, criptografia de chave

Consulte também o artigo da base de conhecimento VMware em http://kb.vmware.com/kb/2112014, Obtendo certificados vSphere de uma autoridade de certificação da Microsoft.

Procedimento

  1. Faça login em vCenter Server e inicie o vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Opção de seleção 1, Substituir certificado SSL da máquina por Certificado personalizado.
  3. Digite o usuário e a senha do administrador.
  4. Selecione a Opção 2, Importar certificado(s) e chave(s) personalizados para substituir o certificado SSL da Máquina existente, para iniciar a substituição do certificado e responder aos prompts.
    vSphere Certificate Manager solicita as seguintes informações:
    • Senha para [email protected]
    • Certificado personalizado SSL de máquina válido (arquivo .crt)
    • Chave personalizada SSL de máquina válida (arquivo .key)
    • Certificado de assinatura válido para o certificado SSL da máquina personalizada (arquivo .crt)
    • Endereço IP do vCenter Server

Substituir certificados de usuário do Solution por certificados personalizados usando o Gerenciador de certificados

Muitas empresas exigem apenas que você substitua certificados de serviços acessíveis externamente. No entanto, o utilitário vSphere Certificate Manager também oferece suporte à substituição de certificados de usuário da solução. Os usuários da solução são coleções de serviços, por exemplo, todos os serviços associados ao vSphere Client.

Quando um certificado de usuário da solução for solicitado, forneça a cadeia de certificados de assinatura completa da autoridade de certificação de terceiros.

O formato é semelhante ao seguinte. 
-----BEGIN CERTIFICATE-----
Signing certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----

Pré-requisitos

Antes de começar, você precisa de um CSR para cada máquina em seu ambiente. Você pode gerar a CSR usando vSphere Certificate Manager ou explicitamente.

  1. Para gerar a CSR usando vSphere Certificate Manager, consulte Gerar solicitações de assinatura de certificado usando o Gerenciador de certificados (certificados personalizados).
  2. Solicite um certificado para cada usuário da solução em cada nó da sua autoridade de certificação corporativa ou de terceiros. Você pode gerar a CSR usando vSphere Certificate Manager ou prepará-la você mesmo. O CSR deve atender aos seguintes requisitos:
    • Tamanho da chave: 2.048 bits (mínimo) a 16.384 bits (máximo) (codificado por PEM)
    • Formato CRT
    • x509 versão 3
    • SubjectAltName deve conter Nome DNS=<machine_FQDN>.

    • Cada certificado de usuário da solução deve ter um Subject diferente. Considere, por exemplo, incluir o nome de usuário da solução (como vpxd) ou outro identificador exclusivo.

    • Contém os seguintes usos de chave: assinatura digital, criptografia de chave

Consulte também o artigo da base de conhecimento VMware em http://kb.vmware.com/kb/2112014, Obtendo certificados vSphere de uma autoridade de certificação da Microsoft.

Procedimento

  1. Faça login em vCenter Server e inicie o vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Selecione a opção 5, substituir certificados de usuário da solução por certificado personalizado.
  3. Digite o usuário e a senha do SSO.
  4. Selecione a Opção 2, Importar certificado(s) e chave(s) personalizados para substituir os Certificados de Usuário da Solução existentes e responda aos prompts.
    vSphere Certificate Manager solicita as seguintes informações:
    • Senha para [email protected]
    • Certificado e chave para o usuário da solução de máquina
    • O certificado e a chave (vpxd.crt e vpxd.key) para o usuário da solução de máquina
    • O conjunto completo de certificados e chaves (vpxd.crt e vpxd.key) para todos os usuários da solução