Por padrão, VMware Certificate Authority (VMCA) provisiona ESXi com certificados. Em vez disso, você pode usar o modo de certificado personalizado ou, para fins de depuração, o modo de impressão digital herdado. Na maioria dos casos, os comutadores de modo causam interrupções e não são necessários. Se você precisar de uma alternância de modo, revise o possível impacto antes de começar.

vCenter Server é compatível com os seguintes modos de certificado para hosts ESXi.
Modo de certificado Descrição
VMware Certificate Authority (padrão) Por padrão, o VMware Certificate Authority é usado como a autoridade de certificação (CA) para certificados de host ESXi. A VMCA é a autoridade de certificação raiz por padrão, mas pode ser configurada como a autoridade de certificação intermediária para outra autoridade de certificação. Nesse modo, os usuários podem gerenciar certificados do vSphere Client. Também usado se a VMCA for um certificado subordinado.
Autoridade de certificação personalizada Alguns clientes podem preferir gerenciar sua própria autoridade de certificação externa. Nesse modo, os clientes são responsáveis por gerenciar os certificados e não podem gerenciá-los do vSphere Client.
Modo de impressão digital O vSphere 5.5 usava o modo de impressão digital, que ainda está disponível para compatibilidade com versões anteriores como uma opção de fallback para o vSphere 6.0. Não use esse modo, a menos que você encontre problemas com um dos outros dois modos que não podem ser resolvidos. Alguns serviços do vCenter Server 6.0 e posteriores podem não funcionar corretamente no modo de impressão digital.

Usando certificados ESXi personalizados

Se a política da sua empresa exigir o uso de uma autoridade de certificação raiz diferente da VMCA, você poderá alternar o modo de certificado em seu ambiente após um planejamento cuidadoso. O fluxo de trabalho é o seguinte.

  1. Obtenha os certificados que você deseja usar.
  2. Coloque o host ou hosts no modo de manutenção e desconecte-os de vCenter Server.
  3. Adicione o certificado raiz da CA personalizada ao VMware Endpoint Certificate Store (VECS).
  4. Implante os certificados de autoridade de certificação personalizados em cada host e reinicie os serviços nesse host.
  5. Alterne para o modo CA personalizado. Consulte Alterar o modo de certificado ESXi.
  6. Conecte o host ou hosts ao sistema vCenter Server.

Alternando do modo CA personalizado para o modo VMCA

Se você estiver usando o modo de CA personalizado e decidir que o uso da VMCA funciona melhor em seu ambiente, poderá realizar a alternância de modo após um planejamento cuidadoso. O fluxo de trabalho é o seguinte.

  1. Remova todos os hosts do sistema vCenter Server.
  2. No sistema vCenter Server, remova o certificado raiz da CA de terceiros do VECS.
  3. Alterne para o modo VMCA. Consulte Alterar o modo de certificado ESXi.
  4. Adicione os hosts ao sistema vCenter Server.
Observação: Qualquer outro fluxo de trabalho para essa alternância de modo pode resultar em um comportamento imprevisível.

Retenção de certificados do modo de impressão digital durante a atualização

A alternância do modo VMCA para o modo de impressão digital pode ser necessária se você encontrar problemas com os certificados VMCA. No modo de impressão digital, o sistema do vCenter Server verifica apenas se um certificado existe e está formatado corretamente, e não verifica se o certificado é válido. Consulte Alterar o modo de certificado ESXi para obter instruções.

Alternando do modo de impressão digital para o modo VMCA

Se você usar o modo de impressão digital e quiser começar a usar certificados assinados pela VMCA, o comutador exigirá algum planejamento. O fluxo de trabalho é o seguinte.

  1. Remova todos os hosts do sistema vCenter Server.
  2. Alterne para o modo de certificado VMCA. Consulte Alterar o modo de certificado ESXi.
  3. Adicione os hosts ao sistema vCenter Server.
Observação: Qualquer outro fluxo de trabalho para essa alternância de modo pode resultar em um comportamento imprevisível.

Alternando do modo de CA personalizado para o modo de impressão digital

Se você estiver encontrando problemas com sua autoridade de certificação personalizada, considere alternar temporariamente para o modo de impressão digital. A opção funcionará perfeitamente se você seguir as instruções em Alterar o modo de certificado ESXi. Após a alternância de modo, o sistema vCenter Server verifica apenas o formato do certificado e não verifica mais a validade do próprio certificado.

Alternando do modo de impressão digital para o modo de CA personalizado

Se você definir seu ambiente para o modo de impressão digital durante a solução de problemas e quiser começar a usar o modo de CA personalizado, primeiro gere os certificados necessários. O fluxo de trabalho é o seguinte.

  1. Remova todos os hosts do sistema vCenter Server.
  2. Adicione o certificado raiz de CA personalizado ao repositório TRUSTED_ROOTS no VECS no sistema vCenter Server. Consulte Atualizar o repositório vCenter Server TRUSTED_ROOTS (certificados personalizados).
  3. Para cada host ESXi:
    1. Implante o certificado e a chave de CA personalizados.
    2. Reinicie os serviços no host.
  4. Alterne para o modo personalizado. Consulte Alterar o modo de certificado ESXi.
  5. Adicione os hosts ao sistema vCenter Server.