Você pode usar o utilitário vSphere Certificate Manager para tornar a VMCA uma autoridade de certificação intermediária. Depois de concluir o processo, a VMCA assina todos os novos certificados com a cadeia completa. Se desejar, você poderá usar vSphere Certificate Manager para substituir todos os certificados existentes por novos certificados assinados pela VMCA.

VMware não recomenda a operação da VMCA como uma autoridade de certificação subordinada (ou intermediária). Se você escolher essa opção, poderá encontrar uma complexidade significativa e o potencial de um impacto negativo na sua segurança, além de um aumento desnecessário no seu risco operacional. Para obter mais informações sobre o gerenciamento de certificados em um ambiente vSphere, consulte a postagem de blog intitulada Detonado sobre o novo produto - Substituição de certificado SSL híbrido vSphere em http://vmware.com/go/hybridvmca.

Para tornar a VMCA uma autoridade de certificação intermediária, você deve executar vSphere Certificate Manager várias vezes. As etapas de alto nível para substituir os certificados SSL da máquina e os certificados do usuário da solução incluem:

  1. Iniciando o utilitário vSphere Certificate Manager.
  2. Gerando uma CSR executando a Opção 2, Substituir o certificado Raiz da VMCA pelo Certificado de Assinatura Personalizado e substitua todos os Certificados. Em seguida, pode ser necessário fornecer algumas informações sobre o certificado. Quando uma opção for solicitada novamente, selecione a Opção 1, Gerar Solicitação(ões) de Assinatura de Certificado e Chave(s) para o certificado de Assinatura Raiz da VMCA.
  3. Enviando a CSR para sua autoridade de certificação externa ou corporativa. Você recebe um certificado assinado e um certificado raiz da autoridade de certificação.
  4. Combinando o certificado raiz da VMCA com o certificado raiz da CA e salvando o arquivo.
  5. Substituindo certificados executando a Opção 2, Substituir certificado raiz da VMCA por Certificado de assinatura personalizado e substitua todos os certificados, seguindo os prompts. Esse processo substitui todos os certificados na máquina local.
  6. (Opcional) Substituindo certificados em cada nó quando várias instâncias vCenter Server estão conectadas na configuração do Modo Vinculado Avançado:
    1. Primeiro, substitua o certificado SSL da máquina pelo (novo) certificado VMCA (Opção 3, Substituir o certificado SSL da máquina pelo certificado VMCA).
    2. Em seguida, substitua os certificados de usuário da solução pelo (novo) certificado VMCA (Opção 6, Substituir certificados de usuário da solução por certificados VMCA).

Gerar CSR usando o Gerenciador de certificados e preparar o certificado raiz (CA intermediária)

Você pode usar o utilitário vSphere Certificate Manager para gerar Solicitações de Assinatura de Certificado (CSRs). Envie essas CSRs para a CA corporativa ou para uma autoridade de certificação externa para assinatura. Você pode usar os certificados assinados com os diferentes processos de substituição de certificado com suporte.

  • Você pode usar vSphere Certificate Manager para criar a CSR.
    Observação: No vSphere 8.0 e posterior, se você usar o vSphere Certificate Manager para gerar o CSR, o tamanho mínimo da chave será alterado para 3.072 bits de 2.048. No vSphere 8.0 Atualização 1, use o vSphere Client para gerar um CSR com um tamanho de chave de 2.048 bits.
    Observação: O certificado FIPS de vSphere só valida tamanhos de chave RSA de 2.048 bits e 3.072 bits.
  • Se você preferir criar a CSR manualmente, o certificado enviado para ser assinado deverá atender aos seguintes requisitos.
    • Tamanho da chave: 2.048 bits (mínimo) a 16.384 bits (máximo) (codificado por PEM)
    • Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando chaves são adicionadas ao VECS, elas são convertidas em PKCS8.
    • x509 versão 3
    • A extensão de CA deve ser definida como true para certificados raiz, e o sinal de certificado deve estar na lista de requisitos. Por exemplo:
      basicConstraints        = critical,CA:true
keyUsage                = critical,digitalSignature,keyCertSign
    • A assinatura da CRL deve estar habilitada.
    • O Uso Estendido de Chave pode estar vazio ou conter Autenticação do Servidor.
    • Nenhum limite explícito para o comprimento da cadeia de certificados. A VMCA usa o padrão OpenSSL, que é de 10 certificados.
    • Certificados com caracteres curinga ou com mais de um nome DNS não são compatíveis.
    • Você não pode criar ACs subsidiárias da VMCA.

      Consulte o artigo da base de conhecimento VMware em http://kb.vmware.com/kb/2112009, Criando um modelo de autoridade de certificação da Microsoft para a criação de certificado SSL no vSphere 6.x, para obter um exemplo usando a Autoridade de Certificação Microsoft.

Pré-requisitos

vSphere Certificate Manager solicita informações. Os prompts dependem do seu ambiente e do tipo de certificado que você deseja substituir.

Para qualquer geração de CSR, será solicitada a senha do usuário [email protected] ou do administrador do domínio vCenter Single Sign-On ao qual você está se conectando.

Procedimento

  1. Faça login no shell vCenter Server e inicie o vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Selecione a Opção 2, Substituir o certificado Raiz da VMCA pelo Certificado de Assinatura Personalizado e substitua todos os Certificados.
    Inicialmente, você usa essa opção para gerar a CSR, não para substituir certificados.
  3. Digite o usuário e a senha do administrador.
  4. Selecione a Opção 1, Gerar Solicitação(ões) de Assinatura de Certificado e Chave(s) para o certificado de Assinatura Raiz da VMCA, para gerar a CSR e responder aos prompts.
    Como parte do processo, você precisa fornecer um diretório. vSphere Certificate Manager coloca o certificado a ser assinado (arquivo *.csr) e o arquivo de chave correspondente (arquivo *.key) no diretório.
  5. Nomeie a solicitação de assinatura de certificado (CSR) como root_signing_cert.csr.
  6. Envie o CSR para sua empresa ou CA externa para assinatura e nomeie o certificado assinado resultante como root_signing_cert.cer.
  7. Em um editor de texto, combine os certificados da seguinte maneira. 
    -----BEGIN CERTIFICATE-----
Signed VMCA root certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
CA intermediate certificates
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root certificate of enterprise or external CA
-----END CERTIFICATE-----
  8. Salve o arquivo como root_signing_chain.cer.

O que Fazer Depois

Substitua o certificado raiz existente pelo certificado raiz encadeado. Consulte Substituir o certificado raiz da VMCA pelo certificado de assinatura personalizado e substituir todos os certificados usando o gerenciador de certificados.

Substituir o certificado raiz da VMCA pelo certificado de assinatura personalizado e substituir todos os certificados usando o gerenciador de certificados

Você pode usar o utilitário vSphere Certificate Manager para gerar uma CSR e enviá-la a uma autoridade de certificação corporativa ou de terceiros para assinatura. Em seguida, você pode substituir o certificado raiz da VMCA por um certificado de assinatura personalizado e substituir todos os certificados existentes por certificados assinados pela autoridade de certificação personalizada.

Execute vSphere Certificate Manager no vCenter Server para substituir o certificado raiz da VMCA por um certificado de assinatura personalizado.

Pré-requisitos

  • Gere a cadeia de certificados.
  • Reúna as informações de que você precisa.
    • Senha para [email protected]
    • Certificado personalizado válido para raiz (arquivo .crt)
    • Chave personalizada válida para raiz (arquivo .key)

Procedimento

  1. Faça login no shell vCenter Server e inicie o vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Selecione a Opção 2, Substituir o certificado Raiz da VMCA pelo Certificado de Assinatura Personalizado e substitua todos os Certificados.
  3. Digite o usuário e a senha do administrador.
  4. Selecione a Opção 2, Importar certificado(s) e chave(s) personalizados para substituir o certificado de Assinatura Raiz da VMCA existente e responda aos prompts.
    1. Especifique o caminho completo para o certificado raiz quando solicitado.
    2. Se você estiver substituindo certificados pela primeira vez, serão solicitadas as informações a serem usadas para o certificado SSL da máquina.
      Essas informações incluem o FQDN necessário da máquina e são armazenadas no arquivo certool.cfg.

Substituir o certificado SSL da máquina pelo certificado VMCA (CA intermediária) usando o Gerenciador de certificados

Ao usar a VMCA como uma CA intermediária, você pode substituir o certificado SSL da máquina explicitamente usando o utilitário vSphere Certificate Manager. Primeiro, você substitui o certificado raiz da VMCA no vCenter Server e, em seguida, pode substituir o certificado SSL da máquina, que será assinado pela nova raiz da VMCA. Você também pode usar essa opção para substituir os certificados SSL da máquina que estão corrompidos ou prestes a expirar.

Quando você substitui o certificado SSL da máquina existente por um novo certificado assinado pela VMCA, vSphere Certificate Manager solicita informações e insere todos os valores, exceto a senha e o endereço IP do vCenter Server, no arquivo certool.cfg arquivo.

  • Senha para [email protected]
  • Código de país de duas letras
  • Nome da empresa
  • Nome da organização
  • Unidade organizacional
  • Estado
  • Localidade
  • Endereço IP (opcional)
  • E-mail
  • Nome do host, ou seja, o nome de domínio totalmente qualificado da máquina para a qual você deseja substituir o certificado. Se o nome do host não corresponder ao FQDN, a substituição do certificado não será concluída corretamente e seu ambiente poderá ficar em um estado instável.
  • Endereço IP de vCenter Server
  • Nome da VMCA, ou seja, o nome de domínio totalmente qualificado da máquina na qual a configuração do certificado está em execução.
Observação: O campo UO (organizationalUnitName) não é mais obrigatório.

Pré-requisitos

  • Você deve conhecer as seguintes informações para executar vSphere Certificate Manager com esta opção.
    • Senha para [email protected].
    • O FQDN da máquina para a qual você deseja gerar um novo certificado assinado pela VMCA. Todas as outras propriedades têm como padrão os valores predefinidos, mas podem ser alteradas.
    • Nome do host ou endereço IP do sistema vCenter Server.

Procedimento

  1. Faça login no shell vCenter Server e inicie o vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Selecione a opção 3, substituir o certificado SSL da máquina pelo certificado VMCA.
  3. Digite o usuário e a senha do administrador.
  4. Responda aos prompts.
    vSphere Certificate Manager armazena as informações no arquivo certool.cfg.

Resultados

vSphere Certificate Manager substitui o certificado SSL da máquina.

Substituir certificados de usuário do Solution por certificados VMCA (CA intermediária) usando o Gerenciador de certificados

Ao usar a VMCA como uma autoridade de certificação intermediária, você pode substituir o certificado de usuário da solução explicitamente usando o utilitário vSphere Certificate Manager. Primeiro, você substitui o certificado raiz da VMCA no vCenter Server e, em seguida, pode substituir o certificado de usuário da solução, que será assinado pela nova raiz da VMCA. Você também pode usar essa opção para substituir certificados de solução corrompidos ou prestes a expirar.

Pré-requisitos

  • Reinicie todos os nós vCenter Server explicitamente se você tiver substituído o certificado raiz da VMCA em uma implantação que consiste em várias instâncias de vCenter Server na configuração do Modo Vinculado Avançado.
  • Você deve conhecer as seguintes informações para executar vSphere Certificate Manager com esta opção.

Procedimento

  1. Faça login no shell vCenter Server e inicie o vSphere Certificate Manager. 
    /usr/lib/vmware-vmca/bin/certificate-manager
  2. Selecione a opção 6, Substituir certificados de usuário do Solution por certificados VMCA.
  3. Digite o usuário e a senha do administrador.
  4. Responda aos prompts.
    Consulte o artigo da base de conhecimento VMware em http://kb.vmware.com/kb/2112281 para obter mais informações.

Resultados

vSphere Certificate Manager substitui todos os certificados de usuário da solução.