O trabalho necessário para configurar ou atualizar sua infraestrutura de certificado vSphere depende dos requisitos do seu ambiente. Você deve considerar se está executando uma nova instalação ou um upgrade e se está considerando ESXi ou vCenter Server.
Ambientes que usam certificados VMware Certificate Authority
VMware Certificate Authority (VMCA) pode lidar com todo o gerenciamento de certificados. A VMCA provisiona componentes vCenter Server e hosts ESXi com certificados que usam a VMCA como a autoridade de certificação raiz. Se você estiver atualizando para o vSphere 6.0 ou posterior de uma versão anterior do vSphere, todos os certificados autoassinados serão substituídos por certificados assinados pela VMCA.
Se você não substituir certificados VMware no momento, seu ambiente começará a usar certificados assinados por VMCA em vez de certificados autoassinados.
Ambientes que usam certificados personalizados
Se a política da sua empresa exigir certificados assinados por uma autoridade de certificação corporativa ou de terceiros, ou que exijam informações de certificado personalizadas, você terá várias opções para uma nova instalação.
- Ter o certificado raiz da VMCA assinado por uma autoridade de certificação de terceiros ou uma autoridade de certificação corporativa. Substitua o certificado raiz da VMCA por esse certificado assinado. Nesse cenário, o certificado VMCA é um certificado intermediário. A VMCA provisiona componentes vCenter Server e hosts ESXi com certificados que incluem a cadeia de certificados completa.
- Se a política da sua empresa não permitir certificados intermediários na cadeia, você poderá substituir os certificados explicitamente. Você pode usar o utilitário vSphere Client, vSphere Certificate Manager ou realizar a substituição manual do certificado usando as CLIs de gerenciamento de certificados.
Ao atualizar um ambiente que usa certificados personalizados, você pode reter alguns dos certificados.
- Os hosts ESXi mantêm seus certificados personalizados durante o upgrade. Certifique-se de que o processo de atualização do vCenter Server adicione todos os certificados raiz relevantes ao repositório TRUSTED_ROOTS no VMware Repositório de endpoints de certificados (VECS) no vCenter Server.
Após o upgrade para o vSphere 6.0 ou posterior, você pode definir o modo de certificado como Personalizado (Custom). Se o modo de certificado for VMCA (o padrão) e você executar uma atualização de certificado do vSphere Client, os certificados assinados por VMCA substituirão os certificados personalizados.
- Para um upgrade de uma instalação simples do vCenter Server para uma implantação incorporada, o vCenter Server retém certificados personalizados. Após a atualização, seu ambiente funcionará como antes. Os certificados vCenter Server e vCenter Single Sign-On existentes são retidos. Os certificados são usados como certificados SSL de máquina. Além disso, a VMCA atribui um certificado assinado pela VMCA a cada usuário da solução (coleção de serviços vCenter). O usuário da solução usa esse certificado apenas para autenticar para vCenter Single Sign-On. VMware não recomenda a substituição de certificados de usuário da solução.
vSphere Interfaces de certificado
Interface | Usar |
---|---|
vSphere Client | Execute tarefas comuns de certificado com uma interface gráfica do usuário. |
API de automação vSphere | Consulte o VMware vSphereGuia de programação de SDKs de automação. |
utilitário vSphere Certificate Manager | Execute tarefas comuns de substituição de certificado a partir da linha de comando da instalação do vCenter Server. |
vSphere CLIs de gerenciamento de certificados | Execute todas as tarefas de gerenciamento de certificados com dir-cli, certool e vecs-cli. |
utilitário sso-config | Execute o gerenciamento de certificados STS a partir da linha de comando da instalação do vCenter Server. |
PowerCLI 12.4 (requer vSphere 7.0 ou posterior) | Execute o gerenciamento de repositório de certificados confiáveis, gerencie certificados SSL de vCenter Server Máquina e gerencie certificados SSL de ESXi Máquina. |
Para ESXi, você executa o gerenciamento de certificados do vSphere Client. A VMCA provisiona certificados e os armazena localmente no host ESXi. A VMCA não armazena certificados de host ESXi no VMDIR ou no VECS. Consulte a documentação do vSphere Segurança.
Certificados vCenter Server compatíveis
Para vCenter Server e máquinas e serviços relacionados, os seguintes certificados são compatíveis:
- Certificados que são gerados e assinados por VMware Certificate Authority (VMCA).
- Certificados personalizados.
- Certificados corporativos gerados a partir de sua própria PKI interna.
- Certificados assinados por uma autoridade de certificação de terceiros que são gerados por uma PKI externa, como Verisign, GoDaddy e assim por diante.
Não há suporte para certificados autoassinados que foram criados usando OpenSSL nos quais nenhuma autoridade de certificação raiz existe.