O VMware Certificate Authority (VMCA) provisiona cada novo host ESXi com um certificado assinado que tem a VMCA como a autoridade de certificação raiz por padrão. O provisionamento ocorre quando você adiciona um host a vCenter Server explicitamente ou como parte da instalação ou atualização de ESXi.
Você pode visualizar e gerenciar certificados ESXi do vSphere Client e usando a API do vim.CertificateManager no vSphere Web Services SDK. Você não pode visualizar ou gerenciar certificados ESXi usando CLIs de gerenciamento de certificados que estão disponíveis para gerenciar certificados vCenter Server.
Certificados em vSphere
Quando ESXi e vCenter Server se comunicam, eles usam TLS para quase todo o tráfego de gerenciamento.
Modo de certificado | Descrição |
---|---|
VMware Certificate Authority (padrão) | Use esse modo se a VMCA provisionar todos os hosts ESXi, como a autoridade de certificação de nível superior ou como uma autoridade de certificação intermediária. Por padrão, a VMCA provisiona hosts ESXi com certificados. Nesse modo, você pode atualizar e renovar certificados do vSphere Client. |
Autoridade de certificação personalizada | Use esse modo se quiser usar apenas certificados personalizados assinados por uma autoridade de certificação corporativa ou de terceiros.
Nesse modo, você é responsável por gerenciar os certificados. Você não pode atualizar e renovar certificados do
vSphere Client.
Observação: A menos que você altere o modo de certificado para Autoridade de certificação personalizada, a VMCA pode substituir certificados personalizados, por exemplo, quando você seleciona
Renovar (Renew) no
vSphere Client.
|
Modo de impressão digital | O vSphere 5.5 usava o modo de impressão digital, e esse modo ainda está disponível como uma opção de fallback para o vSphere 6.x. Nesse modo, vCenter Server verifica se o certificado está formatado corretamente, mas não verifica a validade do certificado. Até mesmo certificados expirados são aceitos. Não use esse modo, a menos que encontre problemas que não possam ser resolvidos com um dos outros dois modos. Alguns serviços do vCenter Server 6.x e versões posteriores podem não funcionar corretamente no modo de impressão digital. |
Expiração do certificado ESXi
Você pode visualizar informações sobre a expiração do certificado para certificados assinados pela VMCA ou por uma autoridade de certificação de terceiros no vSphere Client. Você pode visualizar as informações de todos os hosts que vCenter Server gerencia ou de hosts individuais. Um alarme amarelo será acionado se o certificado estiver no estado Expiring Shortly (menos de oito meses). Um alarme vermelho será acionado se o certificado estiver no estado Expiração iminente (Expiration Imminent) (menos de dois meses).
ESXi Provisionamento e certificados
Quando você inicializa um host ESXi a partir da mídia de instalação, o host inicialmente tem um certificado gerado automaticamente. Quando você adiciona um host ao sistema vCenter Server, vCenter Server provisiona o host com um certificado assinado pela VMCA como a autoridade de certificação raiz.
Você também pode usar certificados personalizados assinados por um terceiro ou uma autoridade de certificação corporativa para hosts ESXi.
ESXi Provisionamento e certificados na implantação automática
O processo é semelhante para hosts provisionados com a Implantação automática. No entanto, como esses hosts não armazenam nenhum estado, o certificado assinado é armazenado pelo servidor de Implantação Automática em seu repositório de certificados local. O certificado é reutilizado durante as inicializações subsequentes dos hosts ESXi. Um servidor Auto Deploy faz parte de qualquer implementação incorporada ou sistema vCenter Server.
Se a VMCA não estiver disponível quando um host de Implantação Automática for inicializado pela primeira vez, o host tentará primeiro se conectar. Se o host não puder se conectar, ele alternará entre o desligamento e a reinicialização até que a VMCA fique disponível e o host possa ser provisionado com um certificado assinado.
Você pode tornar a Implantação Automática uma Autoridade de Certificação subordinada de uma Autoridade de Certificação de terceiros. Nesse caso, os certificados gerados são assinados com a chave SSL do Auto Deploy. Consulte Tornar a implantação automática de uma autoridade de certificação subordinada.
No ESXi 8.0 e posterior, você pode usar certificados personalizados (certificados assinados por uma autoridade de certificação) com o Auto Deploy. Quando o host é iniciado, o Auto Deploy associa o certificado personalizado a um endereço MAC ou ao UUID do BIOS do host ESXi. Consulte Usar certificados personalizados com a implantação automática.
Privilégios necessários para o gerenciamento de certificados ESXi
O privilégio ESXi.
é necessário para que os usuários gerenciem seus certificados de hostESXi Alterações de nome de host e endereço IP
Uma alteração de nome de host ou endereço IP de ESXi pode afetar se vCenter Server considera um certificado de host válido. A forma como você adicionou o host ESXi a vCenter Server afeta a necessidade de intervenção manual. A intervenção manual significa que você reconecta o host ou remove o host de vCenter Server e o adiciona novamente.
ESXi Host adicionado a vCenter Server usando... | ESXi Alterações no nome do host | ESXi Alterações de endereço IP |
---|---|---|
Nome do host | vCenter Server problema de conectividade. Intervenção manual necessária. | Nenhuma intervenção necessária. |
Endereço IP | Nenhuma intervenção necessária. | vCenter Server problema de conectividade. Intervenção manual necessária. |