Ambientes que usam certificados VMware Certificate Authority

VMware Certificate Authority (VMCA) pode lidar com todo o gerenciamento de certificados. A VMCA provisiona componentes vCenter Server e hosts ESXi com certificados que usam a VMCA como a autoridade de certificação raiz. Se você estiver atualizando para o vSphere 6.0 ou posterior de uma versão anterior do vSphere, todos os certificados autoassinados serão substituídos por certificados assinados pela VMCA.

Se você não substituir certificados VMware no momento, seu ambiente começará a usar certificados assinados por VMCA em vez de certificados autoassinados.

Ambientes que usam certificados personalizados

Se a política da sua empresa exigir certificados assinados por uma autoridade de certificação corporativa ou de terceiros, ou que exijam informações de certificado personalizadas, você terá várias opções para uma nova instalação.

• Ter o certificado raiz da VMCA assinado por uma autoridade de certificação de terceiros ou uma autoridade de certificação corporativa. Substitua o certificado raiz da VMCA por esse certificado assinado. Nesse cenário, o certificado VMCA é um certificado intermediário. A VMCA provisiona componentes vCenter Server e hosts ESXi com certificados que incluem a cadeia de certificados completa.
• Se a política da sua empresa não permitir certificados intermediários na cadeia, você poderá substituir os certificados explicitamente. Você pode usar o utilitário vSphere Client, vSphere Certificate Manager ou realizar a substituição manual do certificado usando as CLIs de gerenciamento de certificados.

Ao atualizar um ambiente que usa certificados personalizados, você pode reter alguns dos certificados.

• Os hosts ESXi mantêm seus certificados personalizados durante o upgrade. Certifique-se de que o processo de atualização do vCenter Server adicione todos os certificados raiz relevantes ao repositório TRUSTED_ROOTS no VMware Repositório de endpoints de certificados (VECS) no vCenter Server.

  Após o upgrade para o vSphere 6.0 ou posterior, você pode definir o modo de certificado como Personalizado (Custom). Se o modo de certificado for VMCA (o padrão) e você executar uma atualização de certificado do vSphere Client, os certificados assinados por VMCA substituirão os certificados personalizados.

• Para um upgrade de uma instalação simples do vCenter Server para uma implantação incorporada, o vCenter Server retém certificados personalizados. Após a atualização, seu ambiente funcionará como antes. Os certificados vCenter Server e vCenter Single Sign-On existentes são retidos. Os certificados são usados como certificados SSL de máquina. Além disso, a VMCA atribui um certificado assinado pela VMCA a cada usuário da solução (coleção de serviços vCenter). O usuário da solução usa esse certificado apenas para autenticar para vCenter Single Sign-On. VMware não recomenda a substituição de certificados de usuário da solução.

vSphere Interfaces de certificado

Para ESXi, você executa o gerenciamento de certificados do vSphere Client. A VMCA provisiona certificados e os armazena localmente no host ESXi. A VMCA não armazena certificados de host ESXi no VMDIR ou no VECS. Consulte a documentação do vSphere Segurança.

Certificados vCenter Server compatíveis

Para vCenter Server e máquinas e serviços relacionados, os seguintes certificados são compatíveis:

• Certificados que são gerados e assinados por VMware Certificate Authority (VMCA).
• Certificados personalizados.
  • Certificados corporativos gerados a partir de sua própria PKI interna.
  • Certificados assinados por uma autoridade de certificação de terceiros que são gerados por uma PKI externa, como Verisign, GoDaddy e assim por diante.

Não há suporte para certificados autoassinados que foram criados usando OpenSSL nos quais nenhuma autoridade de certificação raiz existe.