No vSphere 8.0 e posterior, você pode configurar o servidor Auto Deploy para provisionar hosts do ESXi com certificados personalizados assinados por uma autoridade de certificação (CA) de terceiros ou sua própria CA interna. Por padrão, o servidor do Auto Deploy provisiona hosts ESXi com certificados assinados pelo VMware Certificate Authority (VMCA).
Antes do vSphere 8.0, suas opções para gerenciar certificados com o Auto Deploy incluem:
- Usando vCenter Server e o VMware Certificate Authority integrado (o padrão).
- Implementação automática de uma autoridade de certificação subordinada de uma autoridade de certificação de terceiros. Nesse caso, a chave SSL de Implantação automática assina os certificados.
No vSphere 8.0 e posterior, você pode carregar certificados personalizados para o Auto Deploy que são assinados por uma autoridade de certificação de terceiros ou sua própria autoridade de certificação interna. A implantação automática associa o certificado personalizado ao endereço MAC ou ao UUID do BIOS do host ESXi. Sempre que um host do Auto Deploy é iniciado, o Auto Deploy verifica se há um certificado personalizado. Se a Implantação automática encontrar um certificado personalizado, ela usará esse certificado em vez de gerar um por meio da VMCA.
As etapas de alto nível para esta tarefa incluem:
- Gerando a solicitação de certificado personalizado para uma autoridade de certificação de terceiros ou para sua própria autoridade de certificação interna.
- Obter o certificado personalizado assinado (chave e certificado) e armazená-lo localmente.
- Se você estiver usando uma CA de terceiros e, se não tiver feito isso anteriormente, certifique-se de que o certificado raiz da sua CA seja carregado no repositório TRUSTED_ROOTS no vCenter Server.
- Carregando o certificado personalizado no Auto Deploy e associando o certificado ao endereço MAC ou ao UUID do BIOS de um host ESXi.
- Inicializando o host ESXi.
Quando você atribui um certificado personalizado a um host ESXi, o Auto Deploy envia o certificado para o host na próxima inicialização do Auto Deploy.
Esteja ciente das seguintes considerações ao usar certificados personalizados e a implantação automática.
- Você deve usar os cmdlets PowerCLI Add-CustomCertificate, Remove-CustomCertificate e List-CustomCertificate para gerenciar certificados personalizados usados com a Implantação automática. A capacidade de gerenciar certificados personalizados não está disponível no vSphere Client.
- Para atualizar um certificado personalizado usado para implantação automática, você deve executar o cmdlet Add-CustomCertificate novamente.
- Certifique-se de examinar seu certificado personalizado em busca de possíveis erros. A implantação automática verifica apenas se o certificado personalizado está em conformidade com os padrões de certificado X.509 e se o limite de expiração do certificado está definido como pelo menos 240 dias. A Implantação Automática não realiza nenhuma outra validação ou verificação de certificado. Para alterar o limite do certificado, você pode executar o cmdlet Set-DeployOption -Key certificate-refresh-threshold.
- Se posteriormente você remover um certificado personalizado de um host ESXi usando o cmdlet Remove-CustomCertificate, deverá reiniciar o host para que a alteração tenha efeito.
Para obter mais informações sobre certificados personalizados e implantação automática, consulte a documentação VMware ESXi Instalação e configuração.
Pré-requisitos
- Solicite um certificado da sua autoridade de certificação. O certificado deve atender a esses requisitos.
- Tamanho da chave: 2.048 bits (mínimo) a 16.384 bits (máximo) (codificado por PEM)
- Formato PEM. VMware é compatível com PKCS8 e PKCS1 (chaves RSA). Quando chaves são adicionadas ao VECS, elas são convertidas em PKCS8.
- x509 versão 3
- Formato CRT
- Extensão de CA definida como verdadeira
- Uso da chave da assinatura de certificado
- Hora de início de um dia antes da hora atual
Observação: O certificado FIPS de vSphere só valida os tamanhos de chave RSA de 2048 e 3072. Consulte Considerações ao usar o FIPS. - Endereço MAC do host do ESXi ou BIOS UUID. Avalie qual abordagem faz mais sentido para o seu ambiente. O UUID do BIOS é mais estável e menos sujeito a alterações do que o endereço MAC. Se você alterar os adaptadores de rede em um host ESXi, o endereço MAC será alterado. No entanto, o endereço MAC pode ser mais familiar para se trabalhar e mais fácil de obter do que o UUID do BIOS.
- Pelo menos PowerCLI versão 12.6.0. Para obter mais informações sobre cmdlets de Implementação automática PowerCLI, consulte o tópico Visão geral do cmdlet de Implementação automática PowerCLI na documentação do VMware ESXi Instalação e configuração.
Verifique se você tem os seguintes privilégios:
- Adicionar certificado personalizado:
- Obter informações de certificado personalizado: