Por padrão, o servidor do Auto Deploy provisiona cada host com certificados assinados pelo VMware Certificate Authority (VMCA). Você pode configurar o servidor de Implantação Automática para provisionar todos os hosts com certificados personalizados que não são assinados pela VMCA. Nesse cenário, o servidor de Implantação Automática se torna uma autoridade de certificação subordinada da sua autoridade de certificação (CA) de terceiros.

Pré-requisitos

  • Solicite um certificado da sua CA. O certificado deve atender a esses requisitos.
    • Tamanho da chave: 2.048 bits (mínimo) a 16.384 bits (máximo) (codificado por PEM)
    • Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando chaves são adicionadas ao VECS, elas são convertidas em PKCS8.
    • x509 versão 3
    • Para certificados raiz, a extensão de CA deve ser definida como true e o sinal de certificado deve estar na lista de requisitos.
    • SubjectAltName deve conter Nome DNS=<machine_FQDN>.
    • Formato CRT
    • Contém os seguintes usos de chave: assinatura digital, criptografia de chave
    • Hora de início de um dia antes da hora atual.
    • CN (e SubjectAltName) definido como o nome do host (ou endereço IP) que o host ESXi tem no inventário vCenter Server.
    Observação: O certificado FIPS de vSphere só valida os tamanhos de chave RSA de 2048 e 3072. Consulte Considerações ao usar o FIPS.
  • Nomeie o certificado e os arquivos de chave rbd-ca.crt e rbd-ca.key.

Procedimento

  1. Faça backup dos certificados ESXi padrão.
    Os certificados estão no diretório /etc/vmware-rbd/ssl/.
  2. Pare o serviço vSphere Authentication Proxy.
    Ferramenta Etapas
    vCenter Server Interface de gerenciamento
    1. Em um navegador Web, vá para vCenter Server Management Interface, https://vcenter-IP-address-or-FQDN:5480.
    2. Faça login como root.

      A senha raiz padrão é a senha que você define ao implantar o vCenter Server.

    3. Clique em Serviços (Services) e clique em VMware vSphere Authentication Proxy.
    4. Clique em Parar (Stop).
    CLI 
    service-control --stop vmcam
  3. No sistema em que o serviço Auto Deploy é executado, substitua rbd-ca.crt e rbd-ca.key em /etc/vmware-rbd/ssl/ com o certificado personalizado e os arquivos de chave.
  4. No sistema em que o serviço de Implantação automática é executado, execute o seguinte comando para atualizar o armazenamento TRUSTED_ROOTS dentro do VMware Armazenamento de Certificados do Endpoint (VECS) para usar seus novos certificados. 
    /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish --cert /etc/vmware-rbd/ssl/rbd-ca.crt
/usr/lib/vmware-vmafd/bin/vecs-cli force-refresh
  5. Crie um arquivo castore.pem que contenha o que está no armazenamento TRUSTED_ROOTS e coloque o arquivo no diretório /etc/vmware-rbd/ssl/.
    No modo personalizado, você é responsável por manter esse arquivo.
  6. Altere o modo de certificado ESXi do sistema vCenter Server para personalizado.
    Consulte Alterar o modo de certificado ESXi.
  7. Reinicie o serviço vCenter Server e inicie o serviço de Implantação automática.

Resultados

Na próxima vez que você provisionar um host configurado para usar a Implantação Automática, o servidor de Implantação Automática gerará um certificado. O servidor de Implantação Automática usa o certificado raiz que você adicionou ao repositório TRUSTED_ROOTS.

Observação: Se você encontrar problemas com a implantação automática após a substituição do certificado, consulte o artigo da base de conhecimento VMware em http://kb.vmware.com/kb/2000988.