Você pode usar o vSphere Client para substituir os certificados padrão por certificados personalizados.

Você pode usar o vSphere Client para gerar CSRs para cada máquina e substituir certificados quando os receber de sua Autoridade de Certificação (CA) interna ou de terceiros. Quando você envia as CSRs para sua CA interna ou de terceiros, a CA retorna certificados assinados e o certificado raiz. Você pode carregar o certificado raiz e os certificados assinados do vSphere Client.

Gerar solicitação de assinatura de certificado para o certificado SSL da máquina usando o vSphere Client (certificados personalizados)

O certificado SSL da máquina é usado pelo serviço de proxy reverso em cada nó vCenter Server. Cada máquina deve ter um certificado SSL de máquina para comunicação segura com outros serviços. Você pode usar o vSphere Client para gerar uma Solicitação de Assinatura de Certificado (CSR) para o certificado SSL da máquina e para substituir o certificado quando ele estiver pronto.

Pré-requisitos

O certificado deve atender aos seguintes requisitos:

  • Tamanho da chave: 2.048 bits (mínimo) a 16.384 bits (máximo) (codificado por PEM)
  • Formato CRT
  • x509 versão 3
  • SubjectAltName deve conter Nome DNS=<machine_FQDN>.
  • Contém os seguintes usos de chave: assinatura digital, criptografia de chave
Observação: O certificado FIPS de vSphere só valida tamanhos de chave RSA de 2.048 bits e 3.072 bits.

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Especifique o nome de usuário e a senha para [email protected] ou outro membro do grupo vCenter Single Sign-On Administradores.
    Se você especificou um domínio diferente durante a instalação, faça login como administrador@ meudomínio.
  3. Navegue até a UI de Gerenciamento de Certificados.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Certificados (Certificates), clique em Gerenciamento de certificados (Certificate Management).
  4. Insira as credenciais do seu vCenter Server.
  5. Gere o CSR.
    1. No bloco Certificado SSL da máquina (Machine SSL Certificate), clique em Ações (Actions) > Gerar solicitação de assinatura de certificado (CSR).
    2. Digite as informações do seu certificado e clique em Avançar (Next).
      2048 (bits) é o valor padrão para o tamanho da chave. Altere esse valor conforme necessário.
      Observação: Quando você usa vCenter Server para gerar uma CSR com um tamanho de chave de 16384 bits, a geração leva alguns minutos para ser concluída devido à natureza da operação com uso intenso da CPU.
    3. Copie ou baixe o CSR.
    4. Clique em Concluir (Finish).
    5. Forneça o CSR à sua autoridade de certificação.

O que Fazer Depois

Quando a Autoridade de Certificação retornar o certificado, substitua o certificado existente no repositório de certificados. Consulte Adicionar certificados personalizados usando o vSphere Client.

Adicionar um certificado raiz confiável ao repositório de certificados usando o vSphere Client

Se você quiser usar certificados de terceiros em seu ambiente, deverá adicionar um certificado raiz confiável ao repositório de certificados. Você pode fazer isso usando o vSphere Client.

Pré-requisitos

Obtenha o certificado raiz personalizado de sua autoridade de certificação (CA) interna ou de terceiros.

vSphere aceita apenas certificados de CA válidos para importação. Para ser válido, um certificado de CA deve ter o bit CA e o bit keyCertSign definidos na restrição básica e as extensões de certificado X.509 v3 de uso de chave, respectivamente. Isso implica que o certificado é uma CA e sua finalidade é a assinatura de certificado. Consulte https://www.rfc-editor.org/rfc/rfc5280 para obter mais informações.

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Especifique o nome de usuário e a senha para [email protected] ou outro membro do grupo vCenter Single Sign-On Administradores.
    Se você especificou um domínio diferente durante a instalação, faça login como administrador@ meudomínio.
  3. Navegue até a UI de Gerenciamento de Certificados.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Certificados (Certificates), clique em Gerenciamento de certificados (Certificate Management).
  4. Se o sistema solicitar, insira as credenciais do seu vCenter Server.
  5. Em Certificados Raiz Confiáveis (Trusted Root Certificates), clique em Adicionar (Add).
  6. Clique em Procurar (Browse) e selecione o local da cadeia de certificados.
    Você pode usar um arquivo do tipo CER, PEM ou CRT.
  7. Clique em Adicionar (Add).
    O certificado é adicionado ao repositório.

Adicionar certificados personalizados usando o vSphere Client

Você pode usar o vSphere Client para adicionar certificados SSL de Máquina personalizados ao repositório de certificados.

Normalmente, é suficiente substituir o certificado SSL da máquina para cada componente.

Pré-requisitos

Gere solicitações de assinatura de certificado (CSRs) para cada certificado que você deseja substituir. Consulte Gerar solicitação de assinatura de certificado para o certificado SSL da máquina usando o vSphere Client (certificados personalizados). Coloque o certificado e a chave privada em um local que o vCenter Server possa acessar.

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Especifique o nome de usuário e a senha para [email protected] ou outro membro do grupo vCenter Single Sign-On Administradores.
    Se você especificou um domínio diferente durante a instalação, faça login como administrador@ meudomínio.
  3. Navegue até a UI de Gerenciamento de Certificados.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Certificados (Certificates), clique em Gerenciamento de certificados (Certificate Management).
  4. Se o sistema solicitar, insira as credenciais do seu vCenter Server.
  5. No bloco Certificado SSL da máquina (Machine SSL Certificate), clique em Ações (Actions) > Importar e substituir certificado (Import and Replace Certificate).
  6. Clique na opção de substituição de certificado apropriada e clique em Avançar (Next).
    Opção Descrição
    Substituir por VMCA Cria uma CSR gerada pela VMCA para substituir o certificado atual.
    Substituir pelo certificado gerado de vCenter Server Use um certificado assinado usando uma CSR gerada por vCenter Server para substituir o certificado atual.
    Substituir por certificado de CA externo (requer chave privada) Use um certificado assinado por uma CA externa para substituir o certificado atual.
  7. Insira as informações de CSR ou carregue os certificados apropriados.
  8. Clique em Substituir (Replace).
    Os serviços vCenter Server são reiniciados automaticamente.