Se a política da sua empresa exigir, você poderá usar a CLI para substituir alguns ou todos os certificados usados em vSphere por certificados assinados por uma autoridade de certificação corporativa ou de terceiros. Se você fizer isso, a VMCA não estará na sua cadeia de certificados. Você é responsável por armazenar todos os certificados vCenter no VECS.

Você pode substituir todos os certificados ou usar uma solução híbrida. Por exemplo, considere a substituição de todos os certificados usados para tráfego de rede, mas deixando certificados de usuário da solução assinados pela VMCA. Os certificados de usuário da solução são usados apenas para autenticação para vCenter Single Sign-On. vCenter Server usa certificados de usuário da solução apenas para comunicação interna. Os certificados de usuário da solução não são usados para comunicação externa.
Observação: Se você não quiser usar a VMCA, será responsável por substituir todos os certificados por conta própria, por provisionar novos componentes com certificados e por rastrear a expiração do certificado.

Mesmo se você decidir usar certificados personalizados, ainda poderá usar o utilitário VMware Gerenciador de Certificados para substituição de certificados. Consulte Substituir todos os certificados por um certificado personalizado usando o Gerenciador de certificados.

Se você encontrar problemas com o vSphere Auto Deploy após a substituição de certificados, consulte o artigo da base de conhecimento VMware em http://kb.vmware.com/kb/2000988.

Solicitar certificados e importar um certificado raiz personalizado usando a CLI

Você pode usar certificados personalizados de uma CA corporativa ou de terceiros. A primeira etapa é solicitar os certificados da autoridade de certificação e, em seguida, usar a CLI para importar os certificados raiz para o VMware Endpoint Certificate Store (VECS).

Pré-requisitos

O certificado deve atender aos seguintes requisitos:

  • Tamanho da chave: 2.048 bits (mínimo) a 16.384 bits (máximo) (codificado por PEM)
  • Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando chaves são adicionadas ao VECS, elas são convertidas em PKCS8.
  • x509 versão 3
  • Para certificados raiz, a extensão de CA deve ser definida como true e o sinal de certificado deve estar na lista de requisitos.
  • SubjectAltName deve conter Nome DNS=<machine_FQDN>.
  • Formato CRT
  • Contém os seguintes usos de chave: assinatura digital, criptografia de chave
  • Hora de início de um dia antes da hora atual.
  • CN (e SubjectAltName) definido como o nome do host (ou endereço IP) que o host ESXi tem no inventário vCenter Server.
Observação: O certificado FIPS de vSphere só valida tamanhos de chave RSA de 2.048 bits e 3.072 bits.

Procedimento

  1. Envie as Solicitações de Assinatura de Certificado (CSRs) para os seguintes certificados ao seu provedor de certificados corporativo ou de terceiros.
    • Um certificado SSL de máquina para cada máquina. Para o certificado SSL da máquina, o campo SubjectAltName deve conter o nome de domínio totalmente qualificado (DNS NAME=machine_FQDN).
    • Opcionalmente, cinco certificados de usuário da solução para cada nó. Os certificados de usuário da solução não precisam incluir endereço IP, nome do host ou endereço de e-mail. Cada certificado deve ter um Assunto de certificado diferente.

    Normalmente, o resultado é um arquivo PEM para a cadeia confiável, além dos certificados SSL assinados para cada nó vCenter Server.

  2. Liste os armazenamentos SSL do TRUSTED_ROOTS e da máquina. 
    vecs-cli store list
    1. Certifique-se de que o certificado raiz atual e todos os certificados SSL da máquina sejam assinados pela VMCA.
    2. Anote os campos Número de série, emissor e CN do assunto.
    3. (Opcional) Com um navegador Web, abra uma conexão HTTPS com um nó no qual o certificado deve ser substituído, visualize as informações do certificado e certifique-se de que elas correspondam ao certificado SSL da máquina.
  3. Interrompa todos os serviços e inicie os serviços que lidam com a criação, a propagação e o armazenamento de certificados. 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  4. Publique o certificado raiz personalizado. 
    dir-cli trustedcert publish --cert <my_custom_root>
    Se você não especificar um nome de usuário e uma senha na linha de comando, será solicitado.
  5. Reinicie todos os serviços. 
    service-control --start --all

O que Fazer Depois

Você poderá remover o certificado raiz original da VMCA do repositório de certificados se a política da sua empresa exigir isso. Se fizer isso, você precisará atualizar o certificado vCenter Single Sign-On. Consulte Substituir um certificado STS vCenter Server usando a linha de comando.

Substituir certificados SSL da máquina por certificados personalizados usando a CLI

Depois de receber os certificados personalizados, você pode usar a CLI para substituir cada certificado de máquina.

Você deve ter as seguintes informações antes de começar a substituir os certificados:
  • Senha para [email protected]
  • Certificado personalizado SSL de máquina válido (arquivo .crt)
  • Chave personalizada SSL de máquina válida (arquivo .key)
  • Certificado personalizado válido para raiz (arquivo .crt)

Pré-requisitos

Você deve ter recebido um certificado para cada máquina de sua autoridade de certificação corporativa ou de terceiros.

  • Tamanho da chave: 2.048 bits (mínimo) a 16.384 bits (máximo) (codificado por PEM)
  • Formato CRT
  • x509 versão 3
  • SubjectAltName deve conter Nome DNS=<machine_FQDN>.
  • Contém os seguintes usos de chave: assinatura digital, criptografia de chave

Procedimento

  1. Interrompa todos os serviços e inicie os serviços que lidam com a criação, a propagação e o armazenamento de certificados. 
    service-control --stop --all
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad
  2. Faça login em cada nó e adicione os novos certificados de máquina que você recebeu da autoridade de certificação ao VECS.
    Todas as máquinas precisam do novo certificado no repositório de certificados local para se comunicar por SSL. 
    vecs-cli entry delete --store MACHINE_SSL_CERT --alias __MACHINE_CERT
vecs-cli entry create --store MACHINE_SSL_CERT --alias __MACHINE_CERT --cert <cert-file-path> --key <key-file-path>
  3. Atualize o endpoint de registro do serviço de pesquisa. 
    /usr/lib/vmware-lookupsvc/tools/ls_update_certs.py --url https://<vCenterServer_FQDN>/lookupservice/sdk --certfile <cert-file-path> --user '[email protected]' --password '<password>' --fingerprint <SHA1_hash_of_the_old_certificate_to_replace>
  4. Reinicie todos os serviços. 
    service-control --start --all